<div dir="auto">Haven't seen that issue.<div dir="auto"><br></div><div dir="auto">But you should use reuse_ike SA and reuse_child SA, that avoids duplicates SA for phase one and phase two. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 9, 2020, 10:49 PM Victor Sudakov <<a href="mailto:vas@sibptus.ru">vas@sibptus.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Felipe Polanco wrote:<br>
> I always use auto=route or start_action=trap and just keep a ping<br>
> running in the background for critical UDP traffic.<br>
> <br>
> I know it's a poor's man solution but guarantees the connection is always<br>
> up.<br>
<br>
Does this not cause excessive SAs piling up? I've seen a similar<br>
problem with Strongswan on my side and a MikroTik on the remote side:<br>
too many excessive SAs in "ipsec status" output and in MikroTik's<br>
management console.<br>
<br>
My theory was that each trapped packet causes a new SA to be<br>
attempted/generated until some limit is hit or some resource is<br>
exhausted.<br>
<br>
<br>
-- <br>
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN<br>
2:5005/49@fidonet <a href="http://vas.tomsk.ru/" rel="noreferrer noreferrer" target="_blank">http://vas.tomsk.ru/</a><br>
</blockquote></div>