Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Не ходят пакеты при cypher esp-null

KorDen
 Поделиться

Рекомендуемые сообщения

KorDen Старожил

KorDen

Опубликовано
Опубликовано

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4

При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать.

Пример конфига:

Скрытый текст 

crypto engine hardware
crypto ike proposal TTest
    encryption aes-cbc-128
    dh-group 15
    integrity sha1
!
crypto ike policy TTest
    proposal TTest
    lifetime 3600
    mode ikev2
!
crypto ipsec transform-set TTest
    cypher esp-null
    hmac esp-sha1-hmac
    dh-group 15
    lifetime 3600
!
crypto ipsec profile TTest
    dpd-interval 30
    identity-local email firnen@ellesmera.alagaesia
    match-identity-remote any
    authentication-local pre-share
    mode tunnel
    policy TTest
!
crypto map TTest
    set-peer any
    set-profile TTest
    set-transform TTest
    match-address _WEBADMIN_IPSEC_TTest
    set-tcpmss pmtu
    nail-up
    virtual-ip no enable
    enable
!

 

 

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
5 часов назад, KorDen сказал:

v2.08(AAUX.0)A4 <-> v2.06(AAFS.11)B4

При экспериментах с производительностью туннеля решил попробовать отключить шифрование ESP. При этом соединение устанавливается и в веб-интерфейсе отображается активным, но удаленная сеть не пингуется. Стоит поставить шифрование - все начинает работать.

Пример конфига:

  Показать содержимое

 

Отключено было на обоих сторонах туннеля?

Попробуйте еще без crypto engine hardware.

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
26 минут назад, Le ecureuil сказал:

Отключено было на обоих сторонах туннеля?

Попробуйте еще без crypto engine hardware.

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично.

В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить.

threads-ipsec.zip

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
1 минуту назад, KorDen сказал:

Естественно на обоих сторонах, иначе туннель бы не поднялся, ругнувшись на несоответствие (проверил). Попробовал без аппаратного, аналогично.

В момент отключения еще словил лок на ультре (в аттаче), селфтест чуть позже пытался сделать, не удалось запустить.

threads-ipsec.zip

Будьте аккуратны при работе с командой crypto engine, поскольку эта команда в теории может вызвать lock, если случайно в ядре останутся незавершенные сессии Phase 2 SA.

Сперва рекомендую обязательно остановить IPsec:

> no service ipsec

Затем выждать несколько секунд

Затем уже выполнять нужную операцию:

> crypto engine ....

И только затем, через несколько секунд опять запускать IPsec:

> service ipsec

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
20 часов назад, Le ecureuil сказал:

Попробуйте еще без crypto engine hardware.

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
33 минуты назад, KorDen сказал:

Попробовал с ожиданием, действительно, заработало. Только скорость Ultra 2 - Giga 2 без шифрования ~4 МБ/с, а с AES-128/hardware 12-13 МБ/с... Забавно...

Короче проблема в crypto engine, как я и ожидал :)

А удивительного ничего нет: в обоих случаях кроме шифрования нужно еще посчитать HMAC для пакета, и в первом случае без шифрования он считается программно, а во втором случае - аппаратно за один такт с шифрованием. Потому и выходит быстрее. :) 

Спасибо за диагностику, буду разбираться где же неправильно работает crypto engine.

Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано

Да, проблема воспроизводится, но скорее всего поправлена не будет - несколько часов дебага и поисков причин ничего не дали, а смысла в продолжении мало, и вот почему.

esp-null используется для дебага, чтобы захватить через wireshark или ndm-mod-monitor пакеты и посмотреть что же внутри ESP. В production же никто не будет использовать ESP без шифрования (по крайней мере я надеюсь на это).

Потому если по каким-то причинам нужен esp-null - используйте crypto engine software.

KorDen Старожил

KorDen

Опубликовано
  • Автор
Опубликовано
4 часа назад, Le ecureuil сказал:

а смысла в продолжении мало, и вот почему.

Раз решение ошибки нетривиальное - конечно смысла нет..

4 часа назад, Le ecureuil сказал:

В production же никто не будет использовать ESP без шифрования

Теоретически, в зависимости от среды передачи, может быть необходимость туннеля [с проверкой валидности данных (HMAC)], но шифрование не обязательно, если по этому туннелю и так гоняются шифрованные TLS/... данные.

Но это уже сильно частные случаи конечно, я просто игрался - нашел баг - сообщил..

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю