<div dir="ltr">I can't remember what was the option but I know I used it to avoid multiple updown running in parallel for the same peer.<div><br></div><div>Try changing make_before_break to avoid overlapping child_sa, or adjust the time of idle child_sa to expire faster.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Mar 9, 2020 at 11:43 PM Victor Sudakov <<a href="mailto:vas@sibptus.ru">vas@sibptus.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Victor Sudakov wrote:<br>
> Felipe Polanco wrote:<br>
> > > Does this not cause excessive SAs piling up? I've seen a similar<br>
> > > problem with Strongswan on my side and a MikroTik on the remote side:<br>
> > > too many excessive SAs in "ipsec status" output and in MikroTik's<br>
> > > management console.<br>
> > ><br>
> > > My theory was that each trapped packet causes a new SA to be<br>
> > > attempted/generated until some limit is hit or some resource is<br>
> > > exhausted.<br>
> > Haven't seen that issue.<br>
> > <br>
> > But you should use reuse_ike SA and reuse_child SA, that avoids duplicates<br>
> > SA for phase one and phase two.<br>
> > <br>
> <br>
> What's their equivalent in the old (ipsec.conf) syntax? I could not find<br>
> them in ipsec.conf(5)<br>
<br>
There is charon.reuse_ikesa (default already "yes") in<br>
strongswan.conf(5) but no "reuse_child" even there.<br>
<br>
-- <br>
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN<br>
2:5005/49@fidonet <a href="http://vas.tomsk.ru/" rel="noreferrer" target="_blank">http://vas.tomsk.ru/</a><br>
</blockquote></div>