Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Не ходят пакеты при cypher esp-null

KorDen
 Поделиться

Рекомендуемые сообщения

KorDen Старожил

KorDen

Опубликовано
Опубликовано

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4

При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать.

Пример конфига:

  Показать контент

 

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 21.08.2016 в 11:46, KorDen сказал:

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4

При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать.

Пример конфига:

  Показать контент

 

Показать  

Отключено было на обоих сторонах туннеля?

Попробуйте еще без crypto engine hardware.

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
  В 21.08.2016 в 17:12, Le ecureuil сказал:

Отключено было на обоих сторонах туннеля?

Попробуйте еще без crypto engine hardware.

Показать  

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично.

В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить.

threads-ipsec.zip

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 21.08.2016 в 17:43, KorDen сказал:

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично.

В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить.

threads-ipsec.zipПолучение информации...

Показать  

Будьте аккуратны при работе с командой crypto engine, поскольку эта команда в теории может вызвать lock, если случайно в ядре останутся незавершенные сессии Phase 2 SA.

Сперва рекомендую обязательно остановить IPsec:

> no service ipsec

Затем выждать несколько секунд

Затем уже выполнять нужную операцию:

> crypto engine ....

И только затем, через несколько секунд опять запускать IPsec:

> service ipsec

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
  В 21.08.2016 в 17:12, Le ecureuil сказал:

Попробуйте еще без crypto engine hardware.

Показать  

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано
  В 22.08.2016 в 13:40, KorDen сказал:

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

Показать  

Короче проблема в crypto engine, как я и ожидал :)

А удивительного ничего нет: в обоих случаях кроме шифрования нужно еще посчитать HMAC для пакета, и в первом случае без шифрования он считается программно, а во втором случае - аппаратно за один такт с шифрованием. Потому и выходит быстрее. :) 

Спасибо за диагностику, буду разбираться где же неправильно работает crypto engine.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
Опубликовано

Да, проблема воспроизводится, но скорее всего поправлена не будет - несколько часов дебага и поисков причин ничего не дали, а смысла в продолжении мало, и вот почему.

esp-null используется для дебага, чтобы захватить через wireshark или ndm-mod-monitor пакеты и посмотреть что же внутри ESP. В production же никто не будет использовать ESP без шифрования (по крайней мере я надеюсь на это).

Потому если по каким-то причинам нужен esp-null - используйте crypto engine software.

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
  В 26.08.2016 в 14:35, Le ecureuil сказал:

а смысла в продолжении мало, и вот почему.

Показать  

Раз решение ошибки нетривиальное - конечно смысла нет..

  В 26.08.2016 в 14:35, Le ecureuil сказал:

В production же никто не будет использовать ESP без шифрования

Показать  

Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные.

Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю