我在使用 pfSense 时遇到一个问题,即在重新密钥后会创建重复的 SAD,这迫使我手动继续删除旧的 SAD。这不是一个大问题,但一旦我让它运行几天,它就会成为一个问题。我刚刚安装了 pfSense 的 cron 包,这样我就可以运行一个脚本来识别过时的 SAD 并删除它们,但我对 BSD 或 pfSense 不太熟悉。是否有一个命令可以枚举 SAD 及其属性,另一个命令可以通过 ID 删除?我可以编写脚本的条件部分,但我不知道要运行的命令。我猜它会是这样的:
- 列举 SAD
- 通过匹配源 IP 和目标 IP 来识别重复项
- 找到传输字节数较大的一个
- 删除
答案1
您那里有一个问题需要修复,而不是为实际问题创建解决方法。听起来,您的生命周期不匹配,并且没有使用 DPD(或者可能使用的是 2.0 之前的版本,其中 ipsec-tools 中的 DPD 不起作用)。首先修复您的生命周期,然后在可能的情况下在两侧启用 DPD。