<div dir="ltr">Dear strongswan devs,<div><br></div><div>I am trying to fathom the process in which a VPN connection quickly re-establishes after a reboot of one of the gateways in a tunnel.</div><div><br></div><div>If our gateway reboots, and a new IKE SA is established, is it possible that we will still receive packets from the peer using a child-SA that was established prior to the reboot?</div><div>If so, what is the process in which the peer understands that this child SA is no longer valid?</div><div><br></div><div>Can you point me specifically to code?</div><div>For instance, it looks like our gateway won't be sending del-sa for the child SA (when I look at ikev2/tasks/child_delete.c, it seems that this will silently fail because the child-sa for the 'old' SPI won't be found).</div><div><br></div><div>Does strongswan send an information unencrypted response according to section 1.5 of RFC 4306? If so, I gather it would need to receive first an IKE packet on the old IKE SA (which may take more time).</div><div><br></div><div>I also saw some references to <span style="color:rgb(0,0,0);font-size:1em">INITIAL_CONTACT, but they seem to be centered only around IKEv1.</span></div><div><span style="color:rgb(0,0,0);font-size:1em"><br></span></div><div><span style="color:rgb(0,0,0);font-size:1em">Thanks,</span></div><div><br></div><div>Noam</div><div><br></div></div>