<div dir="ltr"><div>Hi, </div><div>I have a route based ipsec tunnel that's working fine except that I'm observing some packet loss over the tunnel (but no packet loss on the underlying physical interface).<br><br>** RX Errors can be seen on the vti interface **:<br><br>root@spoke:~# ip -s -s -s l sh ipsec1<br>244: ipsec1@NONE: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1<br>    link/ipip 169.254.255.1 peer 169.254.255.2<br>    RX: bytes  packets  errors  dropped overrun mcast<br>    45605608340 42900723 54170   54170   0       0<br>    RX errors: length   crc     frame   fifo    missed<br>               0        0       0       0       0<br>    TX: bytes  packets  errors  dropped carrier collsns<br>    7614392646 33201401 0       0       0       0<br>    TX errors: aborted  fifo   window heartbeat transns<br>               0        0       0       0       0<br><br>** But no errors on the underlying physical interface (ruling out frame crc errors i guess) **:<br><br>root@spoke:~# ip -s  l sh eth0<br>2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP mode DEFAULT group default qlen 1000<br>    link/ether xx:xx:xx:xx:xx:xx brd ff:ff:ff:ff:ff:ff<br>    RX: bytes  packets  errors  dropped overrun mcast<br>    387884665702 347613392 0       0       0       84505<br>    TX: bytes  packets  errors  dropped carrier collsns<br>    102682750607 284163570 0       0       0       0<br><br>** Also the replay window stats > 0 in xfrm state ** :<br><br>root@spoke:~# ip -s xfrm state<br>src 169.254.255.1  dst 169.254.255.2<br>proto esp spi 0x67d21812(1741821970) reqid 98(0x00000062) mode tunnel<br>replay-window 0 seq 0x00000000 flag af-unspec (0x00100000)<br>mark 0x1/0xffffffff<br>auth-trunc hmac(sha1) 0xf2969aaxxxx (160 bits) 96<br>enc cbc(aes) 0x180c774xxxxx (128 bits)<br>anti-replay context: seq 0x0, oseq 0x21184d2, bitmap 0x00000000<br>lifetime config:<br> limit: soft (INF)(bytes), hard (INF)(bytes)<br> limit: soft (INF)(packets), hard (INF)(packets)<br> expire add: soft 0(sec), hard 0(sec)<br> expire use: soft 0(sec), hard 0(sec)<br>lifetime current:<br> 8141152159(bytes), 34702546(packets)<br> add 2020-10-11 13:22:28 use 2020-10-11 13:22:30<br>stats:<br> replay-window 0 replay 0 failed 0<br>src 169.254.255.2 dst 169.254.255.1<br>proto esp spi 0xccc9ea89(3435784841) reqid 98(0x00000062) mode tunnel<br>replay-window 32 seq 0x00000000 flag af-unspec (0x00100000)<br>mark 0x1/0xffffffff<br>auth-trunc hmac(sha1) 0x6b508daf6xxxxx(160 bits) 96<br>enc cbc(aes) 0xe545c1bxxxxxx (128 bits)<br>anti-replay context: seq 0x30dd997, oseq 0x0, bitmap 0xffffffff<br>lifetime config:<br> limit: soft (INF)(bytes), hard (INF)(bytes)<br> limit: soft (INF)(packets), hard (INF)(packets)<br> expire add: soft 0(sec), hard 0(sec)<br> expire use: soft 0(sec), hard 0(sec)<br>lifetime current:<br> 47548096033(bytes), 44810813(packets)<br> add 2020-10-11 13:22:28 use 2020-10-11 13:22:34<br>stats:<br> replay-window 54493 replay 0 failed 0<br>root@spoke:~#<br><br><br>* When is replay-window stats increased ? </div><div><br></div><div>* I've noticed that on devices not experiencing packet losses over the ipsec tunnel all the stats = 0 (replay-window, replay & fail).<br><br>* I'm suspecting a replay window issue for received ipsec packets that are dropped..<br><br>Has anyone encountered a similar problem ? any suggestions are welcome. <br><br>Thx & Regards, </div></div>