Hi All, got a bit of an issue - I've removed a user's certificate from my ipsec gw (ikev2 rw setup), revoked their cert, updated the crl (put in /etc/ipsec.d/crls/) and restarted ipsec but they are still able to connect to my gateway.<br>

<br>Does anyone have any suggestions, this is pretty urgent!<br><br>Let me know if you need any more info<br><br>Thanks in advance sirs!<br><br>Russ<br><br>---------------<br>ipsec.conf<br>-------------------<br><br>config setup<br>

        crlcheckinterval=180<br>        strictcrlpolicy=no<br>        nat_traversal=yes<br>        charonstart=yes<br>        plutostart=yes<br>        plutodebug=all<br><br>conn %default<br>       # ikelifetime=60m<br>       # keylife=20m<br>

       # rekeymargin=9m<br>       # keyingtries=3<br>        rekey=no<br>        dpdaction=clear<br>        dpddelay=300s<br><br>conn edba-nat-ikev2<br>        left=%defaultroute<br>        keyexchange=ikev2<br>        rightsourceip=<a href="http://192.168.7.0/24">192.168.7.0/24</a><br>

        auto=add<br>        also=rw_default<br><br>conn rw_default<br>        right=%any<br>        leftcert=gw-cert.pem<br>        leftid=@gw.full.hostname<br>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>

        leftfirewall=yes<br><br>------------------------<br>daemon.log<br>--------------------------<br>Jun 22 14:07:29 gw charon: 00[DMN] Starting IKEv2 charon daemon (strongSwan 4.5.0)<br>Jun 22 14:07:29 gw charon: 00[KNL] listening on interfaces:<br>

Jun 22 14:07:29 gw charon: 00[KNL]   eth1<br>Jun 22 14:07:29 gw charon: 00[KNL]     {EXTERNAL_IP}<br>Jun 22 14:07:29 gw charon: 00[KNL]   eth0<br>Jun 22 14:07:29 gw charon: 00[KNL]     {INTERNAL_IP}<br>Jun 22 14:07:29 gw charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'<br>

Jun 22 14:07:29 gw charon: 00[CFG]   loaded ca certificate "BLANKED" from '/etc/ipsec.d/cacerts/cacert.pem'<br>Jun 22 14:07:29 gw charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'<br>

Jun 22 14:07:29 gw charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'<br>Jun 22 14:07:29 gw charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'<br>Jun 22 14:07:29 gw charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'<br>

Jun 22 14:07:29 gw charon: 00[CFG]   loaded crl from '/etc/ipsec.d/crls/crl.pem'<br>Jun 22 14:07:29 gw charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'<br>Jun 22 14:07:29 gw charon: 00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/gw-key.pem'<br>

Jun 22 14:07:29 gw charon: 00[CFG]   loaded IKE secret for EXTERNAL_IP UNUSED_IP<br>Jun 22 14:07:29 gw charon: 00[DMN] loaded plugins: aes des sha1 sha2 md5 random x509 revocation pubkey pkcs1 pgp pem openssl gcrypt fips-prf gmp agent xcbc hmac attr kernel-netlink resolve socket-raw stroke updown eap-identity eap-aka eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2<br>

Jun 22 14:07:29 gw charon: 00[JOB] spawning 16 worker threads<br>Jun 22 14:07:29 gw charon: 09[CFG] received stroke: add connection 'edba-nat-ikev2'<br>Jun 22 14:07:29 gw charon: 09[CFG]   loaded certificate "BLANKED'<br>

Jun 22 14:07:29 gw charon: 09[CFG] added configuration 'edba-nat-ikev2'<br>Jun 22 14:07:29 gw charon: 09[CFG] adding virtual IP address pool 'edba-nat-ikev2': <a href="http://192.168.7.0/24">192.168.7.0/24</a><br>

<br><br>