<div dir="ltr">When StrongSwan establishes a IKE_SA it appears to look in the config file for the first matching left and right ids.  It then uses that to establish the IKE SA which subsequent CHILD SAs (IPSEC SA) are connected to after further "narrowing" when the connection comes up.  <div>
<br></div><div>These two SAs may be using completely different connection ("conn") sections to do their job.  </div><div><br></div><div>This all makes sense, however if the config is changed and the IKE_SA connection is removed from the configuration file what is the expected behavior?   If the connection that hosts the IKE_SAs is "downed" it takes all the CHILD_SAs (other connections) with it.</div>
<div><br></div><div>So it looks like this:</div><div><br></div><div>IKE_SA => [ CHILD_SA #1, CHILD SA #2, CHILD SA #3]</div><div><br></div><div>It just so happens the connection used to establish the IKE_SA is the same as CHILD_SA #1, but if the connection for CHILD_SA #1 is "downed" using the ipsec down command it will take the other children with it.</div>
<div><br></div><div>I know the down command supports only removing the IKE_SA or the CHILD_SA using square and curly braces, but that implies that one knows the entire linage of the IKE_SA to CHILD_SA to make the "correct" decision.</div>
<div><br></div><div>I would like to specify a IKE_SA connection configuration that is different than the standard "conn" section.  How do I do this?  Do I need to write a plugin with custom configuration?</div><div>
<br></div><div>Regards, </div><div>Dan Cook</div><div>  <br></div></div>