LostSoul Posted October 28, 2017 Posted October 28, 2017 Добрый день! В ченжлоге для RouterOS в версии 6.39 значится ipsec - enable aes-ni on i386 and x64 for cbc, ctr and gcm modes; уже несколько недель вяло пытаюсь добиться работы IPSEC с "Hardware AHEAD" . Пробовал 6.39.3 , 6.40.4 Пробовал все варианты шифрования - не взлетает, работает софтварно. Запускаю в эмуляторе qemu-kvm использую вариант процессора -cpu qemu64,+aes при использовании --cpu host микротик с моим Xeon E3-1225 крешится на этапе загрузки. Может есть какая-то хитрость, другой тип cpu указать? возможно как то включить расширенный дебаг в x86 версии на монитор? Вставить ник Quote
LostSoul Posted October 28, 2017 Author Posted October 28, 2017 Попробовал -cpu SandyBridge тоже не помогает Вставить ник Quote
LostSoul Posted October 28, 2017 Author Posted October 28, 2017 Попробовал вместо mikrotik x86 - mikrotik chr , разницы никакой , всё равно софтварно. Вставить ник Quote
LostSoul Posted October 28, 2017 Author Posted October 28, 2017 продолжая наблюдение.... Mikrotik CHR 6.40.4 - включает "Hardware AHEAD" при настройке режиме AES-128 CGM или AES-256 CGM , но в этом случае оно пропадает с стороны аппаратных микротиков. если включить AES-128 CBC или AES-256 CBC то появляется акселерация на железных микротиках и пропадает на CHR. Заколдованный круг. По форумам несколько похожих тем за 2017 год и ни одного решения Вставить ник Quote
nkusnetsov Posted November 2, 2017 Posted November 2, 2017 (edited) LostSoul , на железных микротиках поддерживаются только AES-128 CBC , AES-192 CBC и AES-256 CBC, хэши sha1 и sha256. Аппаратная архитектура такова. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption Edited November 2, 2017 by nkusnetsov Вставить ник Quote
LostSoul Posted November 2, 2017 Author Posted November 2, 2017 4 часа назад, nkusnetsov сказал: Аппаратная архитектура такова. Ну это я естественно все читал раз 30. Что-ж делать то? Вставить ник Quote
nkusnetsov Posted November 2, 2017 Posted November 2, 2017 1 час назад, LostSoul сказал: Ну это я естественно все читал раз 30. Что-ж делать то? Обмануть физику? Это в Голливуд. Вставить ник Quote
LostSoul Posted November 2, 2017 Author Posted November 2, 2017 17 минут назад, nkusnetsov сказал: Обмануть физику? Это в Голливуд Какую нахрен извините физику? Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон? Вставить ник Quote
DRiVen Posted November 2, 2017 Posted November 2, 2017 11 часов назад, LostSoul сказал: Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон? Вы странный, вам говорят - в текущем состоянии никак, вы отвечаете: знаю, а как сделать то? Логика сбежала? 11 часов назад, LostSoul сказал: Какую нахрен извините физику? Ту, нахрен извините, которая жестко зашита в чипе железки и реализует аппаратную обработку только в заданном режиме. Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге. Вставить ник Quote
LostSoul Posted November 2, 2017 Author Posted November 2, 2017 9 часов назад, DRiVen сказал: Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге. Ну первый пункт я так и сделал, а насчет второго - неужели я первый буду? Как другие выходят из положения? Вставить ник Quote
DRiVen Posted November 3, 2017 Posted November 3, 2017 12 часов назад, LostSoul сказал: Как другие выходят из положения? Похоже пока никак. Вставить ник Quote
maa1 Posted July 11, 2018 Posted July 11, 2018 Тоже столкнулся с этой проблемой - на CHR ipsec aes128-cbc/sha1 не работает аппаратное ускорение aes-ni. Автор, удалось ли вам решить проблему? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.