Jump to content
  • 0
Ranger

В KeeneticOS 3.3.1 похоже сломали crypto engine

Question

У меня два киннетика. Zyxel Keenetic Giga дома и Keenetic Giga (KN-1010) на даче. Между ними настроен IPSec-туннель (по инструкции).

На 3.1.10 и более ранних релизах туннель работал отлично. После обновления на 3.3.1 туннель устанавливает соединение, но, судя по ping, идет потеря от 80% пакетов и выше.

Написал в поддержку. Получил рекомендацию отключить crypto engine. После замены команды crypto engine hardware на crypto no engine в startup-config на обоих роутерах и их перезапуска, туннель снова заработал, потери пакетов прекратились.

Проблема, вроде бы, решена, но...

Как-то это совсем не по фен-шую отключать crypto engine, который работал начиная еще с 2.07. В changelog на 3.3 alpha 1.1 нашел: "reworked the crypto engine to support native CryptoAPI: fixed ESP and EoIP/IPsec packet fragmentation issues". Чинили одно, поломали другое? Все, как обычно... :sadbuttrue:

  • Thanks 2
  • Need more info 1

Share this post


Link to post
Share on other sites

20 answers to this question

Recommended Posts

  • 0

@Ranger проблема в CryptoAPI, которая подтверждена нами в поддержке.

Временно решение Вам озвучил коллега в поддержке - отключите аппаратное ускорение IPSec на стороне KN-1010 в командной строке:

no crypto engine hardware
crypto engine software
system configuration save


Ожидайте исправление. 

Share this post


Link to post
Share on other sites
  • 0

@enpa, так и сделал. Спасибо Вам и коллегам, что помогли разобраться, найти временное решение с отключением crypto engine на KN-1010. Исправления конечно жду.

С наступившими и наступающими!

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

@enpa @Ranger у меня по этой же схеме объединены сети, на одной стороне Giga 3 (VPN сервер), на другой KN-1010. Пинганул удалённую подсеть:

Пакетов: отправлено = 5015, получено = 5012, потеряно = 3

Видимо, должны быть ещё какие-то условия для воспроизведения проблемы?

Share this post


Link to post
Share on other sites
  • 0
crypto engine software

помогло решить похожую проблему с L2TP/IPSec между Viva (клиент) и Mikrotik, спасибо.

Share this post


Link to post
Share on other sites
  • 0

Я очень прошу прощения за нубский вопрос и офтоп, но что-то гугл мне не помог.. или я не знаю как ему правильно этот вопрос задать.

Вопрос: в чем разница между crypto engine software и crypto no engine?

Я предлагю, что crypto engine software включает программную реализацию шифрования/хеширования. Но теперь не понимаю, что делает crypto no engine? Ведь не смотря на crypto no engine у меня на KN-1010 и IPSec-туннель поднимается, и L2TP/IPSec клиент к VPNGate подключается. То есть шифрование работает.

Share this post


Link to post
Share on other sites
  • 0
47 минут назад, Ranger сказал:

Я очень прошу прощения за нубский вопрос и офтоп, но что-то гугл мне не помог.. или я не знаю как ему правильно этот вопрос задать.

Вопрос: в чем разница между crypto engine software и crypto no engine?

Я предлагю, что crypto engine software включает программную реализацию шифрования/хеширования. Но теперь не понимаю, что делает crypto no engine? Ведь не смотря на crypto no engine у меня на KN-1010 и IPSec-туннель поднимается, и L2TP/IPSec клиент к VPNGate подключается. То есть шифрование работает.

Команда с префиксом "no" отключает функцию.

Правильно писать: no crypto engine

Share this post


Link to post
Share on other sites
  • 0
1 hour ago, AndreBA said:

Команда с префиксом "no" отключает функцию.

Правильно писать: no crypto engine

Спорное утверждение. Я как раз написал в startup-config в варианте no crypto engine, после этого удалил компоненты ipsec vpn и клиент l2tp, снова эти компоненты установил, скачал startup-config и обнаружил, что no crypto engine превратилось в crypto no engine.

Да и согласно справочнику команд не имеет значения где no писать.

Впрочем, это не имеет отношения ни к теме топика, ни к вопросу из моего предыдущего поста.

Share this post


Link to post
Share on other sites
  • 0
12 hours ago, AndreBA said:

Найти справочник по CLI не очень то трудно... зная где 😀

Справочник у меня есть. Но ответа на мой вопрос в нем нет.

В справочнике сказано, что crypto engine задает тип обработки IPsec пакетов. Понятно, что hardware включает использоваеие EIP93. Понятно, что software включает их программную обработку.

А что делает no? Я предполагал, что отключает их обработку совсем. Но это не так. Ведь при no IPsec работает, значит aes/sha вычисляются. Значит ли это, что software и no - это одно и то же?

Я думал, может кто знает и сразу ответит. Если нет, полезу логи курить. Авось там ответ есть. 

Share this post


Link to post
Share on other sites
  • 0

Сам спросил, сам отвечу. Сравнил логи в режимах crypto engine software и no crypto engine. Судя по всему в обоих вариантах работает программная реализация шифрования/хэширования. То есть эти два варианта настройки crypto engine эквивалентны.

Share this post


Link to post
Share on other sites
  • 0

На 3.3.7 вроде с hardware корректно заработало

Share this post


Link to post
Share on other sites
  • 0
On 1/30/2020 at 8:09 PM, r13 said:

На 3.3.7 вроде с hardware корректно заработало

С учетом чуточку поломатого wifi, я пожалуй релиз подожду или следующую бету.

Share this post


Link to post
Share on other sites
  • 0
В 31.12.2019 в 12:21, Ranger сказал:

Сам спросил, сам отвечу. Сравнил логи в режимах crypto engine software и no crypto engine. Судя по всему в обоих вариантах работает программная реализация шифрования/хэширования. То есть эти два варианта настройки crypto engine эквивалентны.

Да, no - это программный режим.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0

На 3.3.10 починили. Спасибо!

Edited by Ranger

Share this post


Link to post
Share on other sites
  • 0
В 16.02.2020 в 13:33, Ranger сказал:

На 3.3.10 починили. Спасибо!

У меня на 3.3.10 всё также не работает
туннель, в котором используется проверка целостности SHA256, поднимается, но данные в нём не ходят

Share this post


Link to post
Share on other sites
  • 0

Странно. У меня тоже sha256.

В режиме software у Вас работает? 

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, Ranger сказал:

В режиме software у Вас работает? 

В софтварном все туннели работают
Официальная ТП подтвердила проблему при использовании 3DES-SHA256 на обоих фазах - в хардварном не работает

Edited by yrzorg

Share this post


Link to post
Share on other sites
  • 0
18 hours ago, yrzorg said:

В софтварном все туннели работают
Официальная ТП подтвердила проблему при использовании 3DES-SHA256 на обоих фазах - в хардварном не работает

Тогда понятно. У меня AES256-SHA256.

Share this post


Link to post
Share on other sites
  • 0

Подскажите, может кто в курсе. После обновления на 3.3.1 перестали работать тоннели на strongswan из opkg. Была потеря пакетов около 80%. Обновился на 3.4.3, потери пакетов прекратились, но, похоже, возникла проблема с MTU, так как перестал ходить SSL траффик. Есть решение проблемы?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...