<div dir="ltr"><div class="gmail_quote"><div dir="ltr">On Tue, May 29, 2018 at 12:05 PM Arzhel Younsi <<a href="mailto:arzhel@younsi.org">arzhel@younsi.org</a>> wrote:</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
How to troubleshoot it more?<br></blockquote><div><br></div><div>Another method is to capture the encrypted traffic normally, and then grab the encryption keys from the kernel and decrypt the traffic in Wireshark. The keys currently in use can be viewed with "ip xfrm state", or I believe if the "charondebug" setting in ipsec.conf is set with enough verbosity, the keys will get logged as they are exchanged via IKE.</div><div><br></div><div>I would wonder how big these spikes are. It could be normal path discovery activity.</div><div><br></div><div>I'd also check that under no circumstances can the hosts exchange unencrypted traffic. This can happen for example if the tunnel goes down and there's nothing to block unencrypted traffic. "auto=route" is a good idea, as is blocking everything besides ESP with iptables.</div></div></div>