
<div dir="ltr"><p class="MsoNormal">Dear Team,</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">This is Arun Makkar from Aricent. We are using strongswan

stack v4.2.8 for IpSec feature develop in our BTS SW. </p>


<p class="MsoNormal">Please find below the snippet of the IpSecConf file that we

have generated in our SW.</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">config setup</p>


<p class="MsoNormal">                cachecrls=no</p>


<p class="MsoNormal">                charonstart=yes</p>


<p class="MsoNormal">                plutostart=no</p>


<p class="MsoNormal">                strictcrlpolicy=no</p>


<p class="MsoNormal">                uniqueids=keep</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">ca section1</p>


<p class="MsoNormal">                cacert=/tmp/RootCert10ee04_7c120b3e.pem</p>


<p class="MsoNormal">                auto=add</p>


<p class="MsoNormal"> </p>


<p class="MsoNormal">conn IpSecSA_1</p>


<p class="MsoNormal">                ikelifetime=86400s</p>


<p class="MsoNormal">                keyexchange=ikev2</p>


<p class="MsoNormal">                keyingtries=%forever</p>


<p class="MsoNormal">                keylife=86400s</p>


<p class="MsoNormal">                <b><span style="color:red;background-color:yellow">pfs=yes</span></b></p>


<p class="MsoNormal">                reauth=no</p>


<p class="MsoNormal">                rekey=yes</p>


<p class="MsoNormal">                mobike=no</p>


<p class="MsoNormal">                dpdaction=clear</p>


<p class="MsoNormal">                dpddelay=10</p>


<p class="MsoNormal">                rekeymargin=4320s</p>


<p class="MsoNormal">                ike=aes128-sha1-modp1024,3des-sha1-modp1024!</p>


<p class="MsoNormal">                esp=3des-sha1-modp1024,aes128-sha1-modp1024!</p>


<p class="MsoNormal">                authby=rsasig</p>


<p class="MsoNormal">                left=7.7.7.7</p>


<p class="MsoNormal">                leftsubnet=<a href="http://172.18.21.25/32">172.18.21.25/32</a></p>


<p class="MsoNormal">                right=10.10.10.2</p>


<p class="MsoNormal">                rightsubnet=<a href="http://10.3.4.38/32">10.3.4.38/32</a></p>


<p class="MsoNormal">                leftprotoport=sctp/49152</p>


<p class="MsoNormal">                rightprotoport=sctp/49152</p>


<p class="MsoNormal">                leftid=192.168.255.230</p>


<p class="MsoNormal">                leftcert=/tmp/BTScert_16bbc8.pem</p>


<p class="MsoNormal">                rightid=%any</p>


<p class="MsoNormal">                auto=add</p>


<p class="MsoNormal"> </p>


<p class="" style><span style="font-family:Wingdings">Ų<span style="font-size:7pt;font-family:'Times New Roman'"> 

</span></span>I have a query regarding the support of “pfs”

flag for IKE SAs. Do we use the status “pfs” flag (whether it is “yes” or “no”)

for achieving perfect forward secrecy during re-keying of an IKE SA? Or are there

any other mechanism supported by strongswan stack for achieving  perfect forward secrecy during re-keying of an

IKE SA? Otherwise my query can be stated in this way how we can achieve perfect forward

secrecy during re-key of an IKE SA?</p><p class="" style><br></p><p class="" style>ReRegards</p><p class="" style>ArArun Makkar</p><p class="" style>Ar </p><p class="" style><br></p><p class="" style>A</p><p class="" style>

S</p><p class="" style>S</p><p class="" style><br></p><p class="" style><br></p></div>