<p>
Hi,<span id="_rc_sig">
<pre>
I'd like to share my sad experiences, maybe someone could say something useful how to prevent future cases.
</pre>
<pre>
I have an openswan 2.4.6 running on linux 2.6 have many peers. Some days ago one remote peer started rerequesting the ISAKMP SA 
</pre>
<pre>
unreasonably often and far before the previous one expired and from one point it did it in every 2 secs. 
</pre>
<pre>
After this soon the next logged in relation to this issue:
</pre>
<pre>
....&nbsp;
</pre>
<pre>
anytime anywhere pluto[21105]: | peer and cookies match on #258454, provided msgid 00000000 vs 99006a99
anytime anywhere pluto[21105]: | peer and cookies match on #258452, provided msgid 00000000 vs 435fa025
anytime anywhere pluto[21105]: | peer and cookies match on #258451, provided msgid 00000000 vs 9f957011
anytime anywhere pluto[21105]: | peer and cookies match on #258450, provided msgid 00000000 vs 6c2ca129
anytime anywhere pluto[21105]: | peer and cookies match on #258449, provided msgid 00000000 vs 561a68f8
anytime anywhere pluto[21105]: | peer and cookies match on #258448, provided msgid 00000000 vs 387073ec
anytime anywhere pluto[21105]: | peer and cookies match on #258447, provided msgid 00000000 vs 735e9b15
anytime anywhere pluto[21105]: | peer and cookies match on #258446, provided msgid 00000000 vs b90854d6
</pre>
<pre>
netlink_get: XFRM_MSG_EXPIRE message 
</pre>
<pre>
and handling EVENT_RETRANSMITs. Within seconds the next happened with each connection - not just with the faulty one - during its processing:
</pre>
<pre>
anytime anywhere pluto[21105]: &quot;A_PEER&quot; #258359: ERROR: netlink response for Add SA esp.dab9f5ae@71.92.33.54 included errno 3: No such process
anytime anywhere pluto[21105]: | complete state transition with STF_INTERNAL_ERROR
anytime anywhere pluto[21105]: | state transition function for STATE_QUICK_I1 had internal error
</pre>
<pre>
And after timeout of SA, just a consequence: anytime anywhere pluto[21105]: &quot;A_PEER&quot; #258359: ISAKMP SA expired (LATEST!)&nbsp;
</pre>
<pre>
So after a hard rush of one faulty peer caused serious problem with all connections, it makes me worried because I never saw anything like this seems 
</pre>
<pre>
scalability problem with openswan. DoS protection is implemented in Openswan since version 2.3.0 but from this point I'm confused a little how to be sure 
</pre>
<pre>
not to see it again. May I limit the incoming IKEs / peer with iptables, perhaps ? I do not think it is a system issue, the load was low while it happened.&nbsp;
</pre>
<pre>
&nbsp;
</pre>
<pre>
Thanks in advance for any comment
</pre>
<pre>
Best Regards&nbsp;
</pre>
<pre>
Peter
</pre>
</span>
</p>
<span id="_rc_sig"></span>