<div dir="ltr">Hi Tobias,<div>In my case, the IKE SA rekey time was 300s and IPsec SA rekey time was 3600s. </div><div><br></div><div>However, once I hit the scenario, the system remains in that state:</div><div>* IKEv1 rekey happens every 300s, new IKE SAs are created and no IPsec SAs are created. Should the system not recover on next IKEv1 rekey?</div><div>* IPsec rekey timer is probably not of any use since IPsec SAs are not present.</div><div><br></div><div>Thanks,</div><div>Manju</div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Dec 12, 2018 at 12:57 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Manju,<br>
<br>
> However, are there known issues with IKEv1 with short rekey timers and<br>
> how does IKEv2 overcome this problem?<br>
<br>
IKEv1 has no exchange collision handling, so if both ends rekey<br>
concurrently, all bets are off, IKEv2 has (except for reauthentication,<br>
so use regular rekeying to avoid problems).<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>