<div dir="ltr">Hi Tobias,<div><br></div><div>Thanks. These are good tips.</div><div>We already have DPD set up. </div><div>I think there might be a bug that the adopt_children task is asynchronous, so if a new phase 1 is created, the old phase 1 can be deleted before the adoption occurs. I think this is happening to us quite frequently.</div><div><br></div><div>Noam</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 10, 2015 at 5:35 PM, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">> However, now it is not possible to peer strongswan with palo-alto devices.<br>
> Do you have a suggested workaround?<br>
<br>
</span>If you can't get that device to change its behavior (e.g. by enabling<br>
DPD, which would require a Phase 1 SA) you could do what SK suggested,<br>
that is, ignore DELETE payloads (always, or only if CHILD_SAs are<br>
attached).  For instance, just return SUCCESS in [1].<br>
<br>
Regards,<br>
Tobias<br>
<br>
[1]<br>
<a href="http://git.strongswan.org/?p=strongswan.git;a=blob;f=src/libcharon/sa/ikev1/tasks/isakmp_delete.c;hb=HEAD#l77" target="_blank">http://git.strongswan.org/?p=strongswan.git;a=blob;f=src/libcharon/sa/ikev1/tasks/isakmp_delete.c;hb=HEAD#l77</a><br>
</blockquote></div><br></div>