<div dir="ltr">

<p class="MsoNormal">Hello SS team,</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Does strongswan 5.x provide esp replay protection with IKEv1? </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">I can pass packets with seq number 1, 2, 3 , ..., 31, 1, 2,3, ...,
31. Basically packets with duplicate sequence number are not dropped.</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">I tried a couple of things to resolve this issue with no
success.</p>

<p class="" style="margin-left:0.6in">1)<span style="font-size:7pt;font-family:"Times New Roman","serif"">     
</span>I set replay windows to 128 in strongswan.conf: charon.replay_window  = 128. </p>

<p class="" style="margin-left:0.6in">This did not fix the
issue.</p>

<p class="" style="margin-left:0.6in">2)<span style="font-size:7pt;font-family:"Times New Roman","serif"">     
</span>Then I enabled the extended sequence number in ipsec.conf :
esp=aes128-sha1-modp1024-esn-noesn!</p>

<p class="" style="margin-left:0.6in">It did not make any
difference. It still passes packets with duplicate sequence numbers.</p>



<p class="MsoNormal">My kernel includes the ESN and replay window support for
larger than 32 packets that was added to Kernel 2.6.39. </p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">I appreciate any help.</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Thanks!</p>

<p class="MsoNormal"> </p>

<p class="MsoNormal">Jordan.</p>

</div>