<div dir="ltr">Hi Martin,<div><br></div><div>Thank you for your response.</div><div>What are the pro's and con's of introducing such immediate delete of IKE_SA?</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Mon, Jul 21, 2014 at 3:24 PM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi,<br>
<div class=""><br>
> Is there any other way to administratively shutdown the connection<br>
> using IKE_DELETE, overriding the dpd re-transmission task?<br>
<br>
</div>"ipsec down" tries to gracefully close the tunnel, sending a DELETE<br>
message. As there is a DPD exchange in progress, with IKEv2 and a window<br>
size == 1, that message has to be queued.<br>
<br>
One could just remove the IKE_SA state without notification, but this is<br>
not what "ipsec down" does. Unfortunately, there is currently no<br>
mechanism to immediately delete such an IKE_SA.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br>Regards<br><br>Nanduâ„¢
</div>