<div dir="ltr"><div>I am testing the strongswan android app with a strongswan gateway and see a problem with the connection dropping after 3 minutes.</div><div>My setup is as follows</div><div><br></div><div><span class="" style="white-space:pre">       </span>android-phone----WIFI========================LOAD-BALANCER------------------GATEWAY---------------</div>
<div>10.184.10.1(vip)           10.8.14.111<span class="" style="white-space:pre">    </span>             10.66.9.101                            192.168.10.8       192.168.1.1</div><div><br></div><div>The Android phone connects via WIFI and creates an IPSEC tunnel to the LOAD-BALANCER'S ip(10.66.9.101). This tunnel is forwarded to the</div>
<meta http-equiv="content-type" content="text/html; charset=utf-8"><div>GATEWAY behind it. The GATEWAY is connected to the LB on the interface 192.168.10.8 and to the subnet behind it on the 192.168.1.1 </div><div>interface.</div>
<div><br></div><div>The ipsec tunnel gets established fine and I am able to reach the subnet behind the gateway. The connection however drops after 3 minues or so.</div><div>The connection is using IKEv2 using certs. </div>
<div><br></div><div>On debugging, I noticed that Strongwan on the gateway detects that there is a NAT and tries to detect NAT mapping changes via DPD. The pkt that it sends out however</div><div>has a source address of 192.168.1.1, which cannot reach the 10.8.14.111 address. It should have used the 192.168.10.8 address instead.</div>
<div>Due to this, the transfer times out after 5 retransmits and the connection is torn down, after about 3 minutes.</div><div><br></div><div>I would expect the strongswan on the gateway to use 192.168.10.8 address as the source to the right address of the tunnel and not 192.168.1.1 .</div>
<div>I checked the routing table 220 and it was empty. </div><div><br></div><div>This condition gets fixed if I explicitly add a route on the gateway to use 192.168.10.8. </div><div>I read that this was not required if I am using charon, which manages the routes using NETKEY.</div>
<div><br></div><div>Another thing to mention is that i have replaced the updown script with my own. Should the route management be done via the updown script?</div><div><br></div><div>The gateway is running 4.6.x version of strongswan.</div>
<div><br></div><div>Any help in resolving this issue would be appreciated.</div><div><br></div><div>regards,</div><div>smk</div></div>