Перейти к содержимому
Калькуляторы

Mikrotik x86 и AES-NI

Добрый день!

 

В ченжлоге для RouterOS в версии 6.39 значится

 ipsec - enable aes-ni on i386 and x64 for cbc, ctr and gcm modes; 

 

уже несколько недель вяло пытаюсь добиться работы IPSEC  с "Hardware AHEAD" .

Пробовал 6.39.3 , 6.40.4

Пробовал все варианты шифрования - не взлетает,  работает софтварно.

 

Запускаю в эмуляторе qemu-kvm  использую вариант процессора  -cpu qemu64,+aes

при использовании --cpu host   микротик с моим Xeon E3-1225 крешится на этапе загрузки.

 

Может есть какая-то хитрость, другой тип cpu указать?

возможно как то включить расширенный дебаг в x86 версии на монитор?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробовал -cpu SandyBridge  тоже не помогает

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Попробовал вместо mikrotik x86 - mikrotik chr  , разницы никакой , всё равно софтварно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

продолжая наблюдение....

 

Mikrotik CHR 6.40.4  - включает "Hardware AHEAD" при настройке режиме AES-128 CGM или AES-256 CGM , но в этом случае оно пропадает с стороны аппаратных микротиков.

если включить AES-128 CBC или AES-256 CBC то появляется акселерация на железных микротиках и пропадает на CHR.

Заколдованный круг.

По форумам несколько похожих тем за 2017 год и ни одного решения

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

LostSoul , на железных микротиках поддерживаются только AES-128 CBC , AES-192 CBC и AES-256 CBC, хэши sha1 и sha256.  Аппаратная архитектура такова. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 часа назад, nkusnetsov сказал:

Аппаратная архитектура такова. 

Ну это я естественно все читал раз 30.

Что-ж делать то?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, LostSoul сказал:

Ну это я естественно все читал раз 30.

Что-ж делать то?

 

Обмануть физику? Это в Голливуд.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

17 минут назад, nkusnetsov сказал:

Обмануть физику? Это в Голливуд

Какую нахрен извините физику?

Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

11 часов назад, LostSoul сказал:

Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон?

Вы странный, вам говорят - в текущем состоянии никак, вы отвечаете: знаю, а как сделать то? Логика сбежала?

11 часов назад, LostSoul сказал:

Какую нахрен извините физику?

Ту, нахрен извините, которая жестко зашита в чипе железки и реализует аппаратную обработку только в заданном режиме. Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

9 часов назад, DRiVen сказал:

Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге.

Ну первый пункт я так и сделал, а насчет второго - неужели я первый буду?

Как другие выходят из положения?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, LostSoul сказал:

Как другие выходят из положения?

Похоже пока никак.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тоже столкнулся с этой проблемой - на CHR ipsec aes128-cbc/sha1 не работает аппаратное ускорение aes-ni.

Автор, удалось ли вам решить проблему?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.