Na minha configuração eu tenho algumas instâncias EC2 em diferentes regiões ligadas por túneis GRE, usando ISAKMP via racoon. Essa configuração é herdada, por isso, tenha paciência comigo se eu me atrapalhar com a terminologia.
Às vezes, recebo resultados estranhos de racoonctl -ll show-sa isakmp (perdão de meus endereços IP redigidos) nos quais a contagem de Phase2 é 3, mas esperava que fosse 1 ou 2:
$ sudo racoonctl -ll show-sa isakmp
Source Destination Cookies ST S V E Created Phase2
AA.BB.CC.DDD.4500 EE.FF.III.PP.4500 4fcb2a5a2193f76d:29345905dad89534 9 I 10 M 2016-01-28 15:30:35 3
AA.BB.CC.DDD.4500 EE.GG.JJ.QQQ.4500 75aedcf490649ee5:a08192401adc99c4 9 I 10 M 2016-01-28 15:30:35 3
AA.BB.CC.DDD.4500 EE.HH.KKK.RRR.4500 db698ca0fa4b2ef6:95260abcfb7e3578 9 R 10 M 2016-01-28 15:30:35 2
AA.BB.CC.DDD.4500 EE.GG.LLL.SS.4500 20bccfd70bff99ee:ddc8517f524cf146 9 R 10 M 2016-01-28 15:30:35 2
AA.BB.CC.DDD.4500 EE.HH.OOO.TTT.4500 9ebadf03ed3b0042:ff890371f579df46 9 I 10 M 2016-01-28 15:30:35 1
Acho isso estranho porque achei que só veria duas negociações da fase 2 se estivesse ouvindo apenas essas duas portas em /etc/racoon/racoon.conf :
listen {
isakmp <local_public_subnet_ip> [500];
isakmp_natt <local_public_subnet_ip> [4500];
}
Se alguém reinicia o racoon nesse estado, a contagem volta para 2.
Portanto, embora haja provavelmente muitas causas potenciais, o que poderia causar esse tipo de comportamento? É extremamente difícil de reproduzir, mas eu ficaria feliz em oferecer qualquer informação relevante para depurá-lo.