Хотя я уже некоторое время использую pfSense и мне он очень нравится, мне не удалось избавиться от дубликатов SA. Я проверил все очевидные вещи - убедился, что конфигурации совпадают на обоих концах - и все же они сохраняются. Я пробовал отдавать предпочтение более старым SA, не отдавать предпочтение старым SA, включать режим отладки и т. Д. - все напрасно. Вместо того, чтобы дальше возиться с настройками, я хотел бы знать, что вызывает дублирование SA, чтобы я мог лучше понять, что нужно исправить.
Кроме того, я хотел бы знать, есть ли у кого-нибудь надежный способ сбросить конкретную IPSec SA (и соответствующие SPD) в pfSense. Просто отключение / включение туннеля у меня не всегда работает. Я использую последнюю версию pfSense на обоих концах (2.0.3)
Изменить: хотя я спрашиваю об этом в контексте pfSense, я также наблюдал эту проблему с Cisco ASA - даже когда одна из конечных точек является динамическим ответчиком.
Я обновился до pfSense 2.1 RC0 и не оглядывался назад. Что бы ни было причиной проблемы (которая существовала как в версии 1, так и в версии 2.0.3), это больше не проблема. Хотя это не совсем ответ на мой вопрос.