<div dir="ltr">Dear Martin,<div>  In case of Strongswan Android Market App, the IP address assignment, MTU setting to the ipsec0 interface is handled Android framework VPN JNI module.This will be after the IKE_SA and Child_SA is setup.</div><div>  Could you please give more details, how the configuration setup happens in the Strongswan Android market app is different ?</div><div><br></div><div>Regards,</div><div>Ravikanth</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 5, 2015 at 8:54 AM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class=""><br>
> My understanding was ip address assignment to interface can happen<br>
> later after child SA is negotiated with tunnel end point using the<br>
> virtual ip stored in the Strongswan internal data structures.<br>
<br>
</span>No, this won't work. Negotiating the CHILD_SA installs IPsec SAs and<br>
policies to the kernel, along with a source route to actually make use<br>
of these policies. If the virtual IP is not installed to the kernel,<br>
installing the source route is not possible.<br>
<br>
Not sure what you want to achieve by deferring virtual IP installation,<br>
but that won't work with the way strongSwan handles CHILD_SA setup.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><div class="gmail_signature"><div dir="ltr"><br></div></div>
</div></div>