LostSoul Posted October 28, 2017 · Report post Добрый день! В ченжлоге для RouterOS в версии 6.39 значится ipsec - enable aes-ni on i386 and x64 for cbc, ctr and gcm modes; уже несколько недель вяло пытаюсь добиться работы IPSEC с "Hardware AHEAD" . Пробовал 6.39.3 , 6.40.4 Пробовал все варианты шифрования - не взлетает, работает софтварно. Запускаю в эмуляторе qemu-kvm использую вариант процессора -cpu qemu64,+aes при использовании --cpu host микротик с моим Xeon E3-1225 крешится на этапе загрузки. Может есть какая-то хитрость, другой тип cpu указать? возможно как то включить расширенный дебаг в x86 версии на монитор? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted October 28, 2017 · Report post Попробовал -cpu SandyBridge тоже не помогает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted October 28, 2017 · Report post Попробовал вместо mikrotik x86 - mikrotik chr , разницы никакой , всё равно софтварно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted October 28, 2017 · Report post продолжая наблюдение.... Mikrotik CHR 6.40.4 - включает "Hardware AHEAD" при настройке режиме AES-128 CGM или AES-256 CGM , но в этом случае оно пропадает с стороны аппаратных микротиков. если включить AES-128 CBC или AES-256 CBC то появляется акселерация на железных микротиках и пропадает на CHR. Заколдованный круг. По форумам несколько похожих тем за 2017 год и ни одного решения Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 2, 2017 (edited) · Report post LostSoul , на железных микротиках поддерживаются только AES-128 CBC , AES-192 CBC и AES-256 CBC, хэши sha1 и sha256. Аппаратная архитектура такова. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption Edited November 2, 2017 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 2, 2017 · Report post 4 часа назад, nkusnetsov сказал: Аппаратная архитектура такова. Ну это я естественно все читал раз 30. Что-ж делать то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted November 2, 2017 · Report post 1 час назад, LostSoul сказал: Ну это я естественно все читал раз 30. Что-ж делать то? Обмануть физику? Это в Голливуд. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 2, 2017 · Report post 17 минут назад, nkusnetsov сказал: Обмануть физику? Это в Голливуд Какую нахрен извините физику? Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 2, 2017 · Report post 11 часов назад, LostSoul сказал: Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон? Вы странный, вам говорят - в текущем состоянии никак, вы отвечаете: знаю, а как сделать то? Логика сбежала? 11 часов назад, LostSoul сказал: Какую нахрен извините физику? Ту, нахрен извините, которая жестко зашита в чипе железки и реализует аппаратную обработку только в заданном режиме. Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted November 2, 2017 · Report post 9 часов назад, DRiVen сказал: Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге. Ну первый пункт я так и сделал, а насчет второго - неужели я первый буду? Как другие выходят из положения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted November 3, 2017 · Report post 12 часов назад, LostSoul сказал: Как другие выходят из положения? Похоже пока никак. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maa1 Posted July 11, 2018 · Report post Тоже столкнулся с этой проблемой - на CHR ipsec aes128-cbc/sha1 не работает аппаратное ускорение aes-ni. Автор, удалось ли вам решить проблему? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...