Hallo,
was bedeutet das fuer IPsec Verbindungen?
Die meisten Router (Funkwerk Bintec, Lancom, Fritzbox usw.) können meist nur MD5 oder SHA1.
Cisco IOS Router koennen zwar auch esp-sha256, esp-sha-384, esp-sha512, aber die Cryptoengine wiederum bietet nur MD5, bzw SHA1, d.h. die Berechnung bleibt der CPU, was das VPN so performant macht, wie auf einer Fritzbox und die Verbindung praktisch unbrauchbar werden laesst.
Oder hilft an dieser Stelle, wenn die Phase1 mit "AES256, SHA256, DH-Group 16" gesichert ist und fuer die Phase2 eine kurze Lifetime (z.b. 3600s) und PFS 5 gewählt wird?
vg
Thomas