From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <mav@elserv.msk.su>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-2.0 required=5.0 tests=BAYES_00,DKIM_SIGNED,
 DKIM_VALID,DKIM_VALID_AU autolearn=ham autolearn_force=no version=3.4.1
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=elserv.msk.su;
 s=elserv; t=1681996677;
 bh=Ignlb4zBHUr/nUx9vsRLeZqLUXhoLD/PQo0RAkHYxa8=;
 h=Date:To:From:Subject:From;
 b=T5wQIOfg/+2EblNRp6IEQu2UHzSBwl6td/PlPZ9W8Pni6XbaIZuImZXLSyHxKxbax
 21HfdJqUcjEs7hPftjlW7yW024lXTQm76otjHQWa8BHTa8lwV01gY9weR5k8JaDNGJ
 ByxeDuqsk4Vr0zlwJtB/LwdNioRhBHU6UwtiqszY=
Message-ID: <2d1425e2-ff07-c8c3-66b5-db4673a75630@elserv.msk.su>
Date: Thu, 20 Apr 2023 16:17:56 +0300
MIME-Version: 1.0
To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
Content-Language: ru
From: Alex Moskalenko <mav@elserv.msk.su>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Subject: [Sysadmins] =?utf-8?b?SVBzZWMsIHAxMCwg0Y/QtNGA0L4gNS4xMC4xNzQt?=
 =?utf-8?b?c3RkLWRlZi1hbHQxLCBzdHJvbmdzd2FuIDUuOS4xMC1hbHQxINC4INCa0Lg=?=
 =?utf-8?b?0L3QtdGC0LjQuiDRgSDQnNC40LrRgNC+0YLQuNC60L7QvA==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux sysadmins' discussion <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmins' discussion <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
 <mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 20 Apr 2023 13:26:23 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/2d1425e2-ff07-c8c3-66b5-db4673a75630@elserv.msk.su/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

Здравствуйте.

В попытках установить IPsec-туннель между сервером на стареньком Xeon с 
AES-NI, AVX и без AVX2 и двумя удаленными точками с Keenetic и Mikrotik 
наткнулся на непонятное поведение скорее всего ядра.

Пытаюсь поднять обычный IKEv2 туннель между сетями с параметрами IKE 
AES_CBC_256/HMAC_SHA2_256_128/MODP_2048 и параметрами ESP 
AES_CBC_256/HMAC_SHA2_256_128/MODP_2048. Согласование проходит, 
соединение устанавливается, ESP SAs создаются (с одинаковыми ключами на 
обоих сторонах), маршрут также создается - но трафик не ходит. При этом 
на каждый отправленный любой из сторон ESP-пакет увеличивается счетчик 
failed на другой стороне туннеля.

Путем экспериментов было выяснено, что если в ESP (и только в ESP) 
изменить SHA256 на SHA1 (получается AES_CBC_256/HMAC_SHA1_96/MODP_2048) 
- проблема исчезает, счетчики ошибок нулевые и трафик ходит.

Как я понимаю, вся обработка трафика происходит внутри ядра, и 
получается, что проблема в нем. Так как на другой стороне устройства 
двух разных вендоров ведут себя совершенно одинаково - проблема вряд ли 
в них.

Подскажите пожалуйста, из-за чего может возникать такая ситуация и как 
все-таки заставить работать SHA256 в ESP.