Hi Martin,<div><br></div><div>Thank you very much for your quick response. >From the strongswan view, how to treat this PFP feature? Is there any plan to implement this PFP feature for strongswan? Does also Linux Kernel need to be updated to support PFP feature? Thanks.</div>
<div><br></div><div>Regards</div><div>Allen<br><br><div class="gmail_quote">2013/1/9 Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<div class="im"><br>
> I'm studying stongswan recently, and just want to know whether strongswan<br>
> supports PFP (populate from packet) feature defined in RFC 4301?<br>
<br>
</div>When an IPsec policy triggers the establishment of an SA, charon always<br>
tries to negotiate a CHILD_SA with the full traffic selector from the<br>
configuration (but it includes the packet TS in IKEv2 in front of the<br>
full TS to give the responder a hint what triggered the SA).<br>
<br>
So no, "populate from packet" is not really supported.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br></div>