EIP93: aead decryption failed: auth tag invalid

[Sergun4uk]

Добрый день, в наличии: KN-1010, KN-1810, на обоих версия прошивки 3.6.3. На обоих поднят L2TP сервер, устройства расположены у разных провайдеров. После последнего обновления в журналах начала спамится ошибка : 

EIP93: aead decryption failed: auth tag invalid
Апр 15 23:30:19 kernel
Core::Syslog: last message repeated 1453 times.

Стоит переживать?

Quote

 

 

 

Edited April 15, 2021 by Sergun4uk

[Le ecureuil]

А вы с какой версии обновлялись и на какую? Это сообщение еще в 3.3 появилось.

[Илья Картавенко]

1 минуту назад, Sergun4uk сказал:

Добрый день, в наличии: KN-1010, KN-1810, на обоих версия прошивки 3.6.3. На обоих поднят L2TP сервер, устройства расположены у разных провайдеров. После последнего обновления в журналах начала спамится ошибка : 

EIP93: aead decryption failed: auth tag invalid
Апр 15 23:30:19 kernel
Core::Syslog: last message repeated 1453 times.

Стоит переживать?

У меня и на более ранних прошивках подобные сообщения появлялись, что это значит не знаю.  Без L2TP.

[Sergun4uk]

6 minutes ago, Le ecureuil said:

А вы с какой версии обновлялись и на какую? Это сообщение еще в 3.3 появилось.

Обновился с 3.5.6. До 3.6.3 этой ошибки не наблюдал, либо она в глаза не бросалась.

[Sergun4uk]

6 minutes ago, Илья Картавенко said:

У меня и на более ранних прошивках подобные сообщения появлялись, что это значит не знаю.  Без L2TP.

Насколько я понял - ошибка связанна с аппаратным ускорением шифрования.

[Sergun4uk]

При любой нагрузке на L2TP начинается спам:

[Sergun4uk]

Проблема не исчезла, все еще куча ошибок при передаче данных внутри канала на обоих устройствах. 

[Владимир Шурыгин]

Возникла такая же проблема. L2TP/IPsec сервер 1810, а клиент 3010. На ультре даже при небольшом трафике наблюдается повышенная нагрузка на процессор. Куда копать? Что сделать?

[yuoras]

На Ultra 1810 и на Giga 1010 тоже наблюдаю постоянно (версии 3.7.1)

Цитата

EIP93: aead decryption failed: auth tag invalid

На Giga II (2.16 версии) ,таких записей не наблюдается

Куда смотреть?

Благодарность

[Михаил Г.]

У меня тоже постоянно на 3.7.2 KN-1010 валится EIP93: aead decryption failed: auth tag invalid

 

[yuoras]

Обратят внимание  на ошибку????

Скоро будет год , как пользователи начали показывать эту ошибку.

А решения никто не предоставил .

 

Тут не решают , тех поддержка молчит.

[Le ecureuil]

В 14.03.2022 в 23:52, yuoras сказал:

Обратят внимание  на ошибку????

Скоро будет год , как пользователи начали показывать эту ошибку.

А решения никто не предоставил .

 

Тут не решают , тех поддержка молчит.

У вас на линии связи происходит порча пакетов. Разберитесь с ней.

Раньше не было таких записей только потому, что это "замалчивалось". Теперь вы их видите, можете оценить количество и что-то предпринять.

[PASPARTU]

В 14.03.2022 в 23:52, yuoras сказал:

Обратят внимание  на ошибку????

Скоро будет год , как пользователи начали показывать эту ошибку.

А решения никто не предоставил .

 

Тут не решают , тех поддержка молчит.

киньте Ping c большими пакетами от роутера до роутера , проверьте как работает , еще можете запустить MTR для проверки на пару часов, логи потом провайдеру отправьте.

 

Для примера : ping yandex.ru -n 1000 -l 65500

[Вячеслав Хлопонин]

Может кому поможет. Такие ошибки кидает если использовать доменное имя "???.keenetic.pro", если вместо этого забить прямой IP к L2TP серверу, то на клиентах нет ошибок вида:

EIP93: aead decryption failed: auth tag invalid

[Михаил Г.]

У меня на сервере такие ошибки. На клиентах как раз IP задан и ошибок нет.

Edited February 14, 2023 by Михаил Г.

[yuoras]

1 час назад, Вячеслав Хлопонин сказал:

Может кому поможет. Такие ошибки кидает если использовать доменное имя "???.keenetic.pro", если вместо этого забить прямой IP к L2TP серверу, то на клиентах нет ошибок вида:

EIP93: aead decryption failed: auth tag invalid

Я то думал , что поправили в прошивке что то.

Значит совпало просто

Указан у меня IP

[Вячеслав Хлопонин]

После нескольких тестов стало понятно что проблема осталась, все таки это от нагрузки зависит. Сервер Ultra (KN-1810) все в порядке в любом случае. Два клиента Speedster (KN-3010) под нагрузкой(60-120 мегабит) все равно постоянно кидает эти сообщения, при отсутствии/слабой нагрузке все ок. Буду пробовать разобраться с потерями пакетов, везде провайдер один и интернет 300 мегабит, но все может быть.

[Le ecureuil]

В 14.02.2023 в 10:04, Вячеслав Хлопонин сказал:

Может кому поможет. Такие ошибки кидает если использовать доменное имя "???.keenetic.pro", если вместо этого забить прямой IP к L2TP серверу, то на клиентах нет ошибок вида:

EIP93: aead decryption failed: auth tag invalid

Такого быть не может, какой-то плацебо-эффект у вас.

[Le ecureuil]

Повторю свой пост годовалой давности - на линии происходит порча пакетов. Роутер может только о них сообщить по факту, и все - починить их на его стороне невозможно.

[yuoras]

В 15.02.2023 в 10:06, Le ecureuil сказал:

Такого быть не может, какой-то плацебо-эффект у вас.

Плацебо , не плацебо но у меня такой же эффект как и у Вячеслав Хлопонин.

После указания IP, ошибки пропали.

[dvlad666]

On 2/15/2023 at 11:07 AM, Le ecureuil said:

Повторю свой пост годовалой давности - на линии происходит порча пакетов. Роутер может только о них сообщить по факту, и все - починить их на его стороне невозможно.

Добрый день! Присоединяюсь к дискуссии по данной ошибке. Viva kn-1910, прошивка 4.3.6.3.

Сразу скажу, тестами смог ОПРОВЕРГНУТЬ теорию ув. автора, это НЕ про ошибки и потери на линии. Вероятнее всего идёт гонка между двумя ядрами проца.

Сетап следующий:

• Spoiler

  • Viva kn-1910 4.3.6.3 Аппаратное ускорение выключено.
  • WAN = l2tp от известного провайдера тариф 300мбит/с. Скорость по тарифу выдерживается.
  • WAN воткнут через умный свитч, который считает в т.ч. ошибки в пакетах. Ошибок ноль.
  • На роутере подняты:
    • OpenConnect клиентское соединение (в момент теста не нагружено, но мы будем его дергать). Само это подлючение ведет очень далеко , трафика почти не содержит, и с нижеописанным никак не связано.
    • EoIP over IKEv2 проброс внешнего сегмента в один локальный порт, там по кабелю тусуются компы
    • Wi-Fi 5Ghz Home segment
    • L2TP/Ipsec  сервер (в момент теста не нагружено)
    • IKEv1 Сервер (в момент теста не нагружено)
    • IKEv2 сервер (в момент теста задействуется под один внешний андройд клиент)
  • Есть также отдельный внешний андройд клиент, который сидит на таком же провайдере через другой роутер и поднимает IKEv2 туннель на сервер из предыдущей строки. В этом туннеле скорости примерно 30-40мбит/с (ограничение 1910)

   

Симпотомы при этом:

• Spoiler

  • Ошибка EIP93 возникает в 95% случаев - вместе с ошибкой "openconnect DTLS handshake failed: Resource temporarily unavailable, try again.", через примерно 1-80 секунд после неё. В обратном направлении такое утверждение не наблюдается
  • Тесты проводятся одним и тем же компом и браузером, протсо комп переводится либо по кабелю в удаленную EoIP-over-IKEv2 локалку и начинает брать интернет "с того конца", и там скорости всегда были порядка 40мбит/с, либо локалка отключается, и этот комп начинает брать интерент по вайфаю 5Ghz прямо с этого роутера с вышеупомянутого L2TP WAN линка 300мбит/с
  • Ошибка EIP93 не возникает НИКОГДА через местный WAN, даже если под нагрузкой спидтестом, передернуть или не трогать OpenConnect клиентское подключение и держать EOIP-over-IKEv2 включенным, но не нагруженным
  • Ошибка EIP93 возникает ПОЧТИ ВСЕГДА, если начать гонять нагрузку через EoIP-over-IKEv2 локалку - будь то спидтест или ping -t -l 60000
  • Ошибка EIP93 возникает ЧАСТО, если при подключенном внешнем андройд-клиенте на IKEv2 сервер ничего не гонять и при этом передернуть Openconnect подключение и дождаться DTLS handshake failed
  • Ошибка EIP93 не возникает НИКОГДА, если просто давать полную нагрузку внешним андройд-клиентом на IKEv2 Сервер при выключенном Openconnect подключении и выключенном EOIP-over-IKEv2
  • Ошибка EIP93 не возникает НИКОГДА, если при подключенном андройде (нагружка не важна) запустить EOIP-over-IKEv2 туннель без компов до удаленной локалки
  • Ошибка EIP93 не возникает ВСЕГДА, если после предыдущего действия вдуть в этот туннель пинг 50000+ байт. При этом первый пакет обычно пропадает.

   

На этом исследование закончил, ситуация последних трёх шагов многократно воспроизводима - локальный L2TP Интерент под любой нагрузкой, удаленный телефон с любой нагрузкой И EOIP-over-IKEv2 туннель без нагрузки могут висеть одновременно включенными сколько угодно долго.

Но стоит подать в EOIP-over-IKEv2 туннель пинг 50000+ байт! Сразу же возникает эта ошибка. При этом на пингах менее 40000 байт словить её трудно, если EOIP не нагружен. Далее перезагружаем EOIP туннель, ждём - тихо, шлём первый большой пинг - снова ловим.

Выводы: Ошибка присутствует как минимум на МТ7621, и она НЕ связана ни с потерями пакетов на локальном WAN линке, ни с его скоростью. Т.к. при всех внешних линках в данном тесте их скорость - это 300, 500Мбит, скорость туннелей при этом 30-40Мбит, и она стабильна. Внешние линки физически показывают способность передавать нагрузку 200+ даже вместе с туннелями, а это выше чем 30-40, и уж точно выше, чем один несчастный пинг на 50кбайт.

Вероятнее всего, ошибка связана с какой-то внутренней Race condition на двух ядрах MT7621 процессоров при наличии более чем одного туннеля в UDP пространстве. Или в случае с L2TP WAN - получается, более чем двух, по числу обрабатывающих UDP пакеты ядер. Если появляется третий туннель (в моём случае втрой IKEv2+eoip) и пакет третьего туннеля падает не на то ядро, то оно его может быть и откидывает, как не соответствующий ожиданиям канала шифрования.

Добавление Openconnect во всей этой ситуации видимо является протсо усугубляющим фактором, когда запускается механизм DTLS (т.е. UDP).

Почему порог 40000 vs 50000 байт показал такую четкую корреляцию, не знаю... Возможно, есть некий порог 48кБайт/MTU1460_l2tp_wan = 33 пакета, т.е. где-то прилетает более чем 16 пакетов на каждое ядро проца, и они начинают чудить.

Благодарю всех за внимание к данной теме

Edited January 30 by dvlad666
про ИКЕв2 сервер некорректно указал, он использовался для тестов одним клиентом