<div dir="ltr">Hi<div><br></div><div>Regarding to my experience, using `ipsec reload` is usually unnecessary. ipsec update and ipsec reread(secrets,all,...) is adequate. Besides, "ipsec reload" sometimes makes running tunnels duplicate.</div>
<div><br></div><div>Best regards</div><div>Ali</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Sep 19, 2013 at 10:11 PM, Tom Rymes <span dir="ltr"><<a href="mailto:trymes@rymes.com" target="_blank">trymes@rymes.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">We currently use a firewall distro that has a GUI to<br>
add/modfiy/delete/restart StrongSwan tunnels. The update to v5 of<br>
StrongSwan caused some issues, which were eventually traced back to the<br>
GUI issuing "ipsec reload", but not "ipsec rereadsecrets" when creating<br>
a PSK tunnel.<br>
<br>
My hunch here is that this worked with StrongSwan v4 and earlier because<br>
pluto restarted whenever 'ipsec reload' was issued, such that the entire<br>
configuration, including ipsec.secrets was reloaded, even if you did not<br>
explicitly issue "ipsec rereadsecrets" or "ipsec rereadall". However,<br>
beginning with v5, charon does not do this, and as such, issuing 'ipsec<br>
reload' without 'rereadsecrets' causes charon to see the new tunnel, but<br>
not the new PSK, and as such, fail to bring the tunnel up. This hunch is<br>
based on the fact that the docs say 'ipsec update' and 'ipsec reload'<br>
only determine changes in ipsec.conf, not in any other files, such as<br>
ipsec.secrets<br>
(<a href="http://wiki.strongswan.org/projects/strongswan/wiki/IpsecCommand" target="_blank">http://wiki.strongswan.org/projects/strongswan/wiki/IpsecCommand</a>).<br>
<br>
In any case, that issue has been corrected in the GUI by adding 'ipsec<br>
rereadall' prior to issuing 'ipsec reload'. However, I am now wondering,<br>
what is the proper order of commands to issue once you have<br>
added/deleted/stopped a tunnel", such that similar situations can be<br>
avoided?<br>
<br>
For example: Does it also make sense to issue a rereadall command when<br>
deleting a tunnel, such that charon forgets the PSK and IDs?<br>
<br>
When would you issue a reload and not reread secrets/all/etc?<br>
<br>
Hopefully this isn't an overly obvious question, any thoughts appreciated.<br>
<br>
Tom<br>
<br>
_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>
</blockquote></div><br></div>