LostSoul Опубликовано 28 октября, 2017 · Жалоба Добрый день! В ченжлоге для RouterOS в версии 6.39 значится ipsec - enable aes-ni on i386 and x64 for cbc, ctr and gcm modes; уже несколько недель вяло пытаюсь добиться работы IPSEC с "Hardware AHEAD" . Пробовал 6.39.3 , 6.40.4 Пробовал все варианты шифрования - не взлетает, работает софтварно. Запускаю в эмуляторе qemu-kvm использую вариант процессора -cpu qemu64,+aes при использовании --cpu host микротик с моим Xeon E3-1225 крешится на этапе загрузки. Может есть какая-то хитрость, другой тип cpu указать? возможно как то включить расширенный дебаг в x86 версии на монитор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 октября, 2017 · Жалоба Попробовал -cpu SandyBridge тоже не помогает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 октября, 2017 · Жалоба Попробовал вместо mikrotik x86 - mikrotik chr , разницы никакой , всё равно софтварно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 28 октября, 2017 · Жалоба продолжая наблюдение.... Mikrotik CHR 6.40.4 - включает "Hardware AHEAD" при настройке режиме AES-128 CGM или AES-256 CGM , но в этом случае оно пропадает с стороны аппаратных микротиков. если включить AES-128 CBC или AES-256 CBC то появляется акселерация на железных микротиках и пропадает на CHR. Заколдованный круг. По форумам несколько похожих тем за 2017 год и ни одного решения Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 2 ноября, 2017 (изменено) · Жалоба LostSoul , на железных микротиках поддерживаются только AES-128 CBC , AES-192 CBC и AES-256 CBC, хэши sha1 и sha256. Аппаратная архитектура такова. https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_encryption Изменено 2 ноября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 ноября, 2017 · Жалоба 4 часа назад, nkusnetsov сказал: Аппаратная архитектура такова. Ну это я естественно все читал раз 30. Что-ж делать то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 2 ноября, 2017 · Жалоба 1 час назад, LostSoul сказал: Ну это я естественно все читал раз 30. Что-ж делать то? Обмануть физику? Это в Голливуд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 ноября, 2017 · Жалоба 17 минут назад, nkusnetsov сказал: Обмануть физику? Это в Голливуд Какую нахрен извините физику? Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 2 ноября, 2017 · Жалоба 11 часов назад, LostSoul сказал: Как получить работающее решение по настройке IPSEC между Mikrotik CHR и Mikrotik HEX r3 с аппаратно ускоренным шифрованием с обоих сторон? Вы странный, вам говорят - в текущем состоянии никак, вы отвечаете: знаю, а как сделать то? Логика сбежала? 11 часов назад, LostSoul сказал: Какую нахрен извините физику? Ту, нахрен извините, которая жестко зашита в чипе железки и реализует аппаратную обработку только в заданном режиме. Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 2 ноября, 2017 · Жалоба 9 часов назад, DRiVen сказал: Оставьте на x86/CHR софтовую обработку и напишите микротикам гневное письмо, что не работает декларированное в ченджлоге. Ну первый пункт я так и сделал, а насчет второго - неужели я первый буду? Как другие выходят из положения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 3 ноября, 2017 · Жалоба 12 часов назад, LostSoul сказал: Как другие выходят из положения? Похоже пока никак. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maa1 Опубликовано 11 июля, 2018 · Жалоба Тоже столкнулся с этой проблемой - на CHR ipsec aes128-cbc/sha1 не работает аппаратное ускорение aes-ni. Автор, удалось ли вам решить проблему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...