<div dir="ltr">Thanks for replying, Tobias, the suggestion is very helpful.  <div>The replay window size is the default value (32 packets) which effectively is quite low - will increase it and see how it goes. </div><div><br></div><div>Regards,  </div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Oct 12, 2020 at 4:44 PM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
> * When is replay-window stats increased ? <br>
<br>
Whenever a packet arrives with a sequence number that's lower than the<br>
lower end of the replay window (i.e. with seq < highest_received_seq -<br>
window).  Could be an actually delayed packet but might also be because<br>
the window is simply too small for your line speed and traffic pattern,<br>
e.g. because packets arrive so fast and in quick succession that the<br>
window is moved constantly and too quickly so slightly delayed (or<br>
perhaps larger) packets have to be dropped.<br>
<br>
> * I've noticed that on devices not experiencing packet losses over the<br>
> ipsec tunnel all the stats = 0 (replay-window, replay & fail).<br>
<br>
Yes, those stats indicate errors, so it's good if everything is 0 there.<br>
<br>
> * I'm suspecting a replay window issue for received ipsec packets that<br>
> are dropped..<br>
<br>
Did you configure a replay window size<br>
(connections.<conn>.children.<child>.replay_window in swanctl.conf)?<br>
The default is 32, which is pretty low.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>