<div dir="ltr"><div><div style="font-size:13px;line-height:19.5px;display:inline!important">Hello Strongswan developers,</div><div style="font-size:13px;line-height:19.5px"><br></div><div style="font-size:13px;line-height:19.5px">I have two questions about HA plugin</div><div><div style="line-height:19.5px;font-size:13px;display:inline!important"><br></div></div><div><div style="line-height:19.5px;font-size:13px;display:inline!important">1)</div></div><div><div style="line-height:19.5px;font-size:13px;display:inline!important">In the <a href="https://wiki.strongswan.org/projects/strongswan/wiki/HighAvailability" target="_blank" style="z-index: 0;">wiki</a> written the HA plugin supports  in the IKEv2 daemon  . However in the code and from my experiments it seems that also IKEv1 supported.</div><div style="line-height:19.5px;font-size:13px">Is the documentation needs update or IKEv1 not fully supported?</div></div><div style="font-size:13px;line-height:19.5px"><br></div><div style="font-size:13px;line-height:19.5px">2) </div><div style="font-size:13px;line-height:19.5px">if I understand correctly  in every sent packet , the plugin syncs only the MID , but not the packet content (I mean <a href="https://github.com/strongswan/strongswan/blob/08afc33e5259399a682bb62ef253b3155e68461e/src/libcharon/sa/ikev2/task_manager_v2.c#L122" target="_blank" style="z-index: 0;">task_manager->initiating.packets</a>and  <a href="https://github.com/strongswan/strongswan/blob/08afc33e5259399a682bb62ef253b3155e68461e/src/libcharon/sa/ikev2/task_manager_v2.c#L96" target="_blank" style="z-index: 0;">task_manager->responding.packets</a>)</div><div style="line-height:19.5px;font-size:13px"><br></div><div style="font-size:13px;line-height:19.5px">I think  there are few cases where the IKE state synchronization will fail without  syncing the latest sent packet.</div><div style="font-size:13px;line-height:19.5px">For example: </div><ol style="font-size:13px;line-height:19.5px"><li>The active VPN received request from peer  and tried to send response, but the machine crashed or there was problem in the network so the message wasn't sent, while the inactive VPN got HA message with the new MID. When the backing VPN will be activate the peer retransmit the request but because the VPN doesn't have the latest packet  it drops the retransmit request (see <a href="https://github.com/strongswan/strongswan/blob/08afc33e5259399a682bb62ef253b3155e68461e/src/libcharon/sa/ikev2/task_manager_v2.c#L1341" target="_blank" style="z-index: 0;">here</a>) and the IKE SA at the end will reset. </li><li>The active VPN tried to initiate exchange with the peer but the machine crashed or there was problem in network so the message wasn't sent ,while the inactive VPN got HA message with the new MID. When the backing VPN will  be activated it will try to send new messages but its MID of the our vpn now equal MID+1 of the peer VPN , and at the end the IKE SA will reset.</li></ol><span style="line-height:19.5px">It seems that syncing the latest packets will solve such cases.</span></div><div style="font-size:13px;line-height:19.5px">What do you think?</div><div style="font-size:13px;line-height:19.5px"><br></div><div style="font-size:13px;line-height:19.5px">I would appreciate your response,</div><div style="font-size:13px;line-height:19.5px">Thank you,</div><div style="font-size:13px;line-height:19.5px">Avinoam<br></div></div>