Jump to content
Калькуляторы

Mikrotik x86 и AES-NI

Добрый день!

 

В ченжлоге для RouterOS в версии 6.39 значится

 ipsec - enable aes-ni on i386 and x64 for cbc, ctr and gcm modes; 

 

уже несколько недель вяло пытаюсь добиться работы IPSEC  с "Hardware AHEAD" .

Пробовал 6.39.3 , 6.40.4

Пробовал все варианты шифрования - не взлетает,  работает софтварно.

 

Запускаю в эмуляторе qemu-kvm  использую вариант процессора  -cpu qemu64,+aes

при использовании --cpu host   микротик с моим Xeon E3-1225 крешится на этапе загрузки.

 

Может есть какая-то хитрость, другой тип cpu указать?

возможно как то включить расширенный дебаг в x86 версии на монитор?

 

Share this post


Link to post
Share on other sites

продолжая наблюдение....

 

Mikrotik CHR 6.40.4  - включает "Hardware AHEAD" при настройке режиме AES-128 CGM или AES-256 CGM , но в этом случае оно пропадает с стороны аппаратных микротиков.

если включить AES-128 CBC или AES-256 CBC то появляется акселерация на железных микротиках и пропадает на CHR.

Заколдованный круг.

По форумам несколько похожих тем за 2017 год и ни одного решения

 

Share this post


Link to post
Share on other sites

LostSoul , на железных микротиках поддерживаются только AES-128 CBC , AES-192 CBC и AES-256 CBC, хэши sha1 и sha256.  Аппаратная архитектура такова. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

4 часа назад, nkusnetsov сказал:

Аппаратная архитектура такова. 

Ну это я естественно все читал раз 30.

Что-ж делать то?

 

Share this post


Link to post
Share on other sites

1 час назад, LostSoul сказал:

Ну это я естественно все читал раз 30.

Что-ж делать то?

 

Обмануть физику? Это в Голливуд.

Share this post


Link to post
Share on other sites

17 минут назад, nkusnetsov сказал:

Обмануть физику? Это в Голливуд

Какую нахрен извините физику?

Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон?

 

Share this post


Link to post
Share on other sites

11 часов назад, LostSoul сказал:

Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон?

Вы странный, вам говорят - в текущем состоянии никак, вы отвечаете: знаю, а как сделать то? Логика сбежала?

11 часов назад, LostSoul сказал:

Какую нахрен извините физику?

Ту, нахрен извините, которая жестко зашита в чипе железки и реализует аппаратную обработку только в заданном режиме. Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге.

Share this post


Link to post
Share on other sites

9 часов назад, DRiVen сказал:

Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге.

Ну первый пункт я так и сделал, а насчет второго - неужели я первый буду?

Как другие выходят из положения?

 

Share this post


Link to post
Share on other sites

Тоже столкнулся с этой проблемой - на CHR ipsec aes128-cbc/sha1 не работает аппаратное ускорение aes-ni.

Автор, удалось ли вам решить проблему?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.