
Hi Andreas,<br><br>Could you please reply to below 0 soft life time query?<br><br>We are using charon (ikev2).  We are using strongswan version <br># /usr/local/6bin/ipsec version<br>

Linux strongSwan U4.3.1/K2.6.21.7-hrt1-NSN42-WR2.0NSN83.fp_octwnd_56xx_filb_standard<br><br> And we see only outbound SAs are having 0 soft life time where as  inbound SAs no issues.<br><br>Could you please let me know the scenario when this can happen and is there any patch of strongswan for this issue.<br>

<br><b>setkey -D</b> and <b>ip xfrm -s state</b> both shows softlifetime as 0.<br><br><br>Thanks,<br>Reshma <br><br><div class="gmail_quote">On Mon, Apr 2, 2012 at 4:52 PM, Reshma Begam <span dir="ltr"><<a href="mailto:reshma.begam@gmail.com">reshma.begam@gmail.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Andreas,<br><br> Ok Pluto daemon is for IKEV1 . But here whatever SADs i have mentioned they are for charon .<br>

<br>Thanks,<br>Reshma<div class="HOEnZb"><div class="h5"><br><br><div class="gmail_quote">On Mon, Apr 2, 2012 at 4:21 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello Reshma,<br>

<br>

the IKEv1 pluto daemon does not set the lifetime fields<br>

in the Linux kernel:<br>

<br>

  <a href="http://www.strongswan.org/uml/testresults/ikev1/net2net-cert/moon.ip.state" target="_blank">http://www.strongswan.org/uml/testresults/ikev1/net2net-cert/moon.ip.state</a><br>

<br>

whereas the IKEv2 charon daemon does:<br>

<br>

  <a href="http://www.strongswan.org/uml/testresults/ikev2/net2net-cert/moon.ip.state" target="_blank">http://www.strongswan.org/uml/testresults/ikev2/net2net-cert/moon.ip.state</a><br>

<br>

This has historic reasons. pluto goes a long way back to the<br>

FreeS/WAN project which with KLIPS had an IPsec stack implementation<br>

of its own. The Phase 2 rekeying is managed by the daemon's userland<br>

event scheduler.<br>

<br>

Our IKEv2 charon daemon subscribes to XFRM events generated by the<br>

Linux kernel which are triggered by the IPsec state's hard and soft<br>

limits.<br>

<br>

Regards<br>

<br>

Andreas<br>

<div><br>

On 02.04.2012 12:13, Reshma Begam wrote:<br>

> Hi,<br>

><br>

>  I had seen soft lifetime as 0 in SAD database and when this can happen?<br>

> can some one please comment. Following are the lifetime and margin<br>

> values used in our configuration.<br>

><br>

> ikelifetime   (phase1)         :  3600s<br>

> keylife   (pahse2)              : 1800s<br>

> rekeymargin                     : keylifetime/10 = 1800/10<br>

> rekeyfuzz                         : 100%<br>

><br>

><br>

> Setkey -D<br>

> ====================<br>

> # setkey -D<br>

> source=10.69.211.113 destination=10.69.211.169<br>

>         protocol=esp mode=tunnel spi=171795725(0x0a3d650d)<br>

> reqid=3(0x00000003)<br>

>         encr-algo=aes-cbc<br>

>         encr-key=d4ce82ab1a1a227042f7223be73992aa<br>

>         auth-algo=hmac-sha1<br>

>         auth-key=9813fe27b461ae4e21aa30b3c8d4d0d5e02e5beb<br>

>         replay-window=32 flags=0x11000000 state=mature seq=1 pid=12331<br>

>         created=2012-03-30/12:59:04 current=2012-03-30/13:20:49<br>

> elapsed=1305(s)<br>

>         hard-lifetime=1800(s) expiration=2012-03-30/13:29:04<br>

</div>>      *   soft-lifetime=0(s) renewal=2012-03-30/12:59:04 *<br>

<div>>         last-use=2012-03-30/12:59:05<br>

>         bytes-processed=3005251 hard-lifebyte=0 soft-lifebyte=0<br>

>         vrfid=0 xvrfid=0<br>

> source=10.69.211.169 destination=10.69.211.113<br>

>         protocol=esp mode=tunnel spi=3393626443(0xca46a14b)<br>

> reqid=3(0x00000003)<br>

>         encr-algo=aes-cbc<br>

>         encr-key=33df05abedf86b9a83a66e4f4cb47058<br>

>         auth-algo=hmac-sha1<br>

>         auth-key=bbaa5769f326304efe20cfb978074f1252e09f18<br>

>         replay-window=32 flags=0x10000000 state=mature seq=0 pid=12331<br>

>         created=2012-03-30/12:59:04 current=2012-03-30/13:20:49<br>

> elapsed=1305(s)<br>

>         hard-lifetime=1800(s) expiration=2012-03-30/13:29:04<br>

>         soft-lifetime=1557(s) renewal=2012-03-30/13:25:01<br>

>         last-use=never<br>

>         bytes-processed=2222776 hard-lifebyte=0 soft-lifebyte=0<br>

>         vrfid=0 xvrfid=0<br>

><br>

><br>

> --<br>

><br>

> Regards,<br>

> Reshma<br>

<br>

</div>======================================================================<br>

<span><font color="#888888">Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a><br>

strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org" target="_blank">www.strongswan.org</a><br>

Institute for Internet Technologies and Applications<br>

University of Applied Sciences Rapperswil<br>

CH-8640 Rapperswil (Switzerland)<br>

===========================================================[ITA-HSR]==<br>

<br>

</font></span></blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br><div> </div>

<div>Regards,</div>

<div>Reshma</div><br>

</font></span></blockquote></div><br><br clear="all"><br>-- <br><div> </div>

<div>Regards,</div>

<div>Reshma</div><br>