OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • RAM läuft voll: Extrem viele SPIs für eine IPsec-Verbindung ?
« previous next »
  • Print
Pages: [1]

Author Topic: RAM läuft voll: Extrem viele SPIs für eine IPsec-Verbindung ?  (Read 431 times)

Wayne Train

  • Full Member
  • ***
  • Posts: 194
  • Karma: 12
    • View Profile
RAM läuft voll: Extrem viele SPIs für eine IPsec-Verbindung ?
« on: July 08, 2019, 10:43:18 am »
Hallo,

ich habe seit geraumer Zeit folgendes Problem: Wir haben zwei Standorte A und B, die wiederum jeweils mit einem Tunnel mit Stabndort C verbunden sind. C befindet sich hiner einer Fritzbox, die die OPN als "exposed host" behandelt. Auf Firewall B gibt es maximal 4 SPIs und die RAM-Auslastung bleibt normal.

Bei der Verbindung A nach C sind aktuell 267 SPIs vorhanden und die RAM-Auslatung steigt kontinuierlich an, bis die Kiste irgendwann nicht mehr erreichbar ist.

ipsec status con3 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
     267
ipsec status con2 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
       4

Ich vermute mal, dass es mit unserer Anbindung an sich zusammenhängt, da die Config von A und B identisch ist. Vor A aber noch eine Fortinet hängt, vor B nicht.

Darüber hinaus meldet A immer wieder "ESP_TFC_PADDING_NOT_SUPPORTED" für den besagten Tunnel. Eine Einstellung wo ich das Padding für diese Verbuindung deaktivieren kann, habe ich allerdings nioch nicht gefunden.

Hat jemand ne Idee, oder mal ein ähnliches Verhalten beobachtet ?
Danke.

MFG
Wayne
Logged

  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch (Moderator: JeGr) »
  • RAM läuft voll: Extrem viele SPIs für eine IPsec-Verbindung ?
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2021 All rights reserved
  • SMF 2.0.17 | SMF © 2019, Simple Machines
    Privacy Policy
    | XHTML | RSS | WAP2