CCR 1016 IP-IP-IPSec проблемы

[Nixlog]

Доброго времени суток!

Имеется Mikrotik CCR1016-12G ROS 6.36.1 и виртуальный Cloud Hosted Router ROS v 6.36. Есть задача настроить между ними туннель IP-IP с шифрованием IPSec.

Не могу вычленить проблему - при аутентификации SHA256 с шифрованием CBC туннель падает через пару минут и поднимается только после ребута железки. Поддержка микротика разводит руками(как я понял, неработающие конфиги, отличные от дефолта для данного вендора и ватная поддержка - нормальное дело).

Хочется вычленить, что проблема не аппаратная и к ROS v 99.99 ее когда-нибудь залатают.

Конфиг прост до безумия:

/interface ethernet
set [ find default-name=ether2 ] speed=1Gbps
/interface ipip
add allow-fast-path=no keepalive=5s,5 local-address=10.7.1.1 name=ipip-tunnel1 \
   remote-address=10.7.1.2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
   lifetime=2m
/ip address
add address=10.7.1.1/24 interface=ether2 network=10.7.1.0
add address=10.8.1.1/24 interface=ipip-tunnel1 network=10.8.1.0
/ip ipsec peer
add address=10.7.1.2/32 nat-traversal=no secret=123
/ip ipsec policy
add dst-address=10.7.1.2/32 sa-dst-address=10.7.1.2 sa-src-address=10.7.1.1 \
   src-address=10.7.1.1/32
/system logging
add prefix=ipsec topics=ipsec

На другом конце, соттветственно, все зеркально.

 

И немного тестов CCR1016-12G, кому-то может интересно.

SHA256: AES128-CBC ~ 404Mbps, AES256-CBC ~ 375Mbps, AES256-CTR ~ 83.1Mbps, Camelia256 ~ 83.7Mbps

SHA512: AES128-CBC ~ 112Mbps, AES256-CBC ~ 100Mbps, AES256-CTR ~ 100Mbps, Camelia256 ~ 99.7Mbps

SHA1: AES128-CBC ~ 412Mbps, AES256-CBC~ 500Mbps, AES256-CTR ~ 113Mbps, Camelia256 ~ 113Mbps

Линк между роутерами 1Gbps.

жирным шрифтом - падает туннель при отсутсвии траффика

Может, кто сталкивался, подскажет?

Edited August 18, 2016 by Nixlog

[SOs]

Не сталкивался, но странно, что траффик отсутствует, т.к. keepalive у Вас указан. Может IGP какой-нибудь в туннеле запустить для траффика?

Lifetime'ами поиграться? Посмотреть, влияет ли на жизнь туннеля.

С SA что когда залипает? Они вроде как должны обновляться когда время жизни заканчивается.

 

UPD (бред): А вообще дебаг на МТ уродский. Если совсем заморочится, скрестить один пир с циской (можно эмулем) и нормально подебажить, что в туннеле твориться. А вообще тот еще секс )).

Edited August 29, 2016 by SOs

[Nixlog]

Вобщем, спустя после 12 дней игнора микротик выдал:

Sorry for late reply. There seems to be a problem in hw driver. We will try to fix this in the future, but currently I would suggest to switch to one of the software algorithms, like sha512.

 

Жаль конечно, тыкаешь вендора носом, а тебе говорят мол у тебя глюки с физическим соединением. Проблема-то воспроизводится элементарно при наличии железа.

Теперь борюсь с IPSec и dynamic peers. Интересно, баг с policy-template-group=*FFFFFFFF уже пофиксили за 2 года?... думаю что нет =)

Edited September 1, 2016 by Nixlog

[WY6EPT]

Зато лоукост :)

А мне ссры все меньше нравятся.

6 ядерный древний сервак выдал на тесте 360 мегабит aes 256cbc.

Тоесть нормальный двухсокетный сервак с бюджетными но быстрыми древними камнями гигабит в дуплексе запилят.

Хотя конечно тут еще вопрос в надёжности и у кого что на складе лежит :)

[starik-i-more]

Интересно как у вас распределилась нагрузка между ядрами во время теста.

[WY6EPT]

2 ядра были загружены на 100% + ещё одно ядро обрабатывало irq

ну и были моменты временных скачков на других ядрах.

частота 2.13 ГГц

HT кстати на 1 ядерном проце дал увеличение производительности в 5-10%, на многоядерных не почувствовали