Jump to content
Калькуляторы

Mikrotik x86 и AES-NI

Добрый день!

 

В ченжлоге для RouterOS в версии 6.39 значится

 ipsec - enable aes-ni on i386 and x64 for cbc, ctr and gcm modes; 

 

уже несколько недель вяло пытаюсь добиться работы IPSEC  с "Hardware AHEAD" .

Пробовал 6.39.3 , 6.40.4

Пробовал все варианты шифрования - не взлетает,  работает софтварно.

 

Запускаю в эмуляторе qemu-kvm  использую вариант процессора  -cpu qemu64,+aes

при использовании --cpu host   микротик с моим Xeon E3-1225 крешится на этапе загрузки.

 

Может есть какая-то хитрость, другой тип cpu указать?

возможно как то включить расширенный дебаг в x86 версии на монитор?

 

Share this post


Link to post
Share on other sites

Попробовал вместо mikrotik x86 - mikrotik chr  , разницы никакой , всё равно софтварно.

Share this post


Link to post
Share on other sites

продолжая наблюдение....

 

Mikrotik CHR 6.40.4  - включает "Hardware AHEAD" при настройке режиме AES-128 CGM или AES-256 CGM , но в этом случае оно пропадает с стороны аппаратных микротиков.

если включить AES-128 CBC или AES-256 CBC то появляется акселерация на железных микротиках и пропадает на CHR.

Заколдованный круг.

По форумам несколько похожих тем за 2017 год и ни одного решения

 

Share this post


Link to post
Share on other sites

LostSoul , на железных микротиках поддерживаются только AES-128 CBC , AES-192 CBC и AES-256 CBC, хэши sha1 и sha256.  Аппаратная архитектура такова. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

Edited by nkusnetsov

Share this post


Link to post
Share on other sites
4 часа назад, nkusnetsov сказал:

Аппаратная архитектура такова. 

Ну это я естественно все читал раз 30.

Что-ж делать то?

 

Share this post


Link to post
Share on other sites
1 час назад, LostSoul сказал:

Ну это я естественно все читал раз 30.

Что-ж делать то?

 

Обмануть физику? Это в Голливуд.

Share this post


Link to post
Share on other sites
17 минут назад, nkusnetsov сказал:

Обмануть физику? Это в Голливуд

Какую нахрен извините физику?

Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон?

 

Share this post


Link to post
Share on other sites
11 часов назад, LostSoul сказал:

Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон?

Вы странный, вам говорят - в текущем состоянии никак, вы отвечаете: знаю, а как сделать то? Логика сбежала?

11 часов назад, LostSoul сказал:

Какую нахрен извините физику?

Ту, нахрен извините, которая жестко зашита в чипе железки и реализует аппаратную обработку только в заданном режиме. Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге.

Share this post


Link to post
Share on other sites
9 часов назад, DRiVen сказал:

Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге.

Ну первый пункт я так и сделал, а насчет второго - неужели я первый буду?

Как другие выходят из положения?

 

Share this post


Link to post
Share on other sites
12 часов назад, LostSoul сказал:

Как другие выходят из положения?

Похоже пока никак.

Share this post


Link to post
Share on other sites

Тоже столкнулся с этой проблемой - на CHR ipsec aes128-cbc/sha1 не работает аппаратное ускорение aes-ni.

Автор, удалось ли вам решить проблему?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this