RAM läuft voll: Extrem viele SPIs für eine IPsec-Verbindung ?

[Wayne Train]

Hallo,

ich habe seit geraumer Zeit folgendes Problem: Wir haben zwei Standorte A und B, die wiederum jeweils mit einem Tunnel mit Stabndort C verbunden sind. C befindet sich hiner einer Fritzbox, die die OPN als "exposed host" behandelt. Auf Firewall B gibt es maximal 4 SPIs und die RAM-Auslastung bleibt normal.

Bei der Verbindung A nach C sind aktuell 267 SPIs vorhanden und die RAM-Auslatung steigt kontinuierlich an, bis die Kiste irgendwann nicht mehr erreichbar ist.

ipsec status con3 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
     267
ipsec status con2 | grep INSTALLED | wc -l
no files found matching '/usr/local/etc/strongswan.opnsense.d/*.conf'
       4

Ich vermute mal, dass es mit unserer Anbindung an sich zusammenhängt, da die Config von A und B identisch ist. Vor A aber noch eine Fortinet hängt, vor B nicht.

Darüber hinaus meldet A immer wieder "ESP_TFC_PADDING_NOT_SUPPORTED" für den besagten Tunnel. Eine Einstellung wo ich das Padding für diese Verbuindung deaktivieren kann, habe ich allerdings nioch nicht gefunden.

Hat jemand ne Idee, oder mal ein ähnliches Verhalten beobachtet ?
Danke.

MFG
Wayne