<div dir="ltr">We are having integration problems with Cisco ASR on IKEv1 that appear only during IKE rekey.<div><div><br></div><div>At rekey time strongswan successfully initiates and negotiates a new IKE SA, and after 10 seconds strongswan silently deletes the old IKE SA causing DPD failures on the old IKE SA. The confuses the Ciscso ASR, eventually causing it to delete the child SAs and the new IKE SA.</div><div><br></div><div>My question: How is the Cisco ASR supposed to know that the old IKE SA is no longer relevant? </div><div><br></div><div><div>Is it possible that the intention was to delete the IKE SA after it is totally expired, and the '10' value should really be peer_cfg->get_over_time() ? Even if so, shouldn't strongswan still not send a delete message?</div></div><div><br></div><div>A few pointers in the code:</div><div>* ike_sa->delete() for a IKE SA that is rekeyed silently deletes itself:  <a href="https://github.com/strongswan/strongswan/blob/master/src/libcharon/sa/ike_sa.c#L1786">https://github.com/strongswan/strongswan/blob/master/src/libcharon/sa/ike_sa.c#L1786</a>  (note the 'break' and return DESTROY_ME).</div><div>* The decision to delete 10 seconds after negotiating the new IKE SA is taken here:</div><div><a href="https://github.com/strongswan/strongswan/blob/master/src/libcharon/sa/ike_sa_manager.c#L1908">https://github.com/strongswan/strongswan/blob/master/src/libcharon/sa/ike_sa_manager.c#L1908</a><br></div><div><br></div><div>Noam</div><div><br></div></div></div>