<p dir="ltr">Sriram,</p>
<p dir="ltr">Thanks for the reminder; I forgot to update this thread.</p>
<p dir="ltr">I got the same result as you when I tried this. I have not found any other work around using StrongSwan, so I modified my app to be MTU aware and adjust in real time.</p>
<p dir="ltr">Harry </p>
<div class="gmail_quote">On Apr 13, 2015 10:31 PM, "Sriram" <<a href="mailto:sriram.ec@gmail.com">sriram.ec@gmail.com</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div><div>Hi Harry,<br><br></div>This is Sriram. When I happen to check strongswan mailing list, I found the mail chain below and found it relevant to what I was looking for.<br><br></div>I set that kernel-netlink.mtu to 1200 and found that any packet exceeding 1200 packet size got fragmented but only after encryption.<br></div>Is there any option available to achieve prefragmentation i.e fragmentation before encryption, if not is there any workaround ?<br><br><br></div>Regards,<br></div><div>Sriram.<br><br></div><div><div><div><br><div><br><div><div><div><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Harry Chan-Maestas</b> <span dir="ltr"><<a href="mailto:harry.chan.maestas@gmail.com" target="_blank">harry.chan.maestas@gmail.com</a>></span><br>Date: Sun, Mar 8, 2015 at 5:57 AM<br>Subject: Re: [strongSwan] StrongSwan support for IPsec pre-fragmentation<br>To: <a href="mailto:users@lists.strongswan.org" target="_blank">users@lists.strongswan.org</a><br><br><br><div dir="ltr"><div><div>Hi Noel,<br><br></div>Thank you very much for the hint. I will give it a try.<span><font color="#888888"><br><br></font></span></div><span><font color="#888888">Harry<br></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Mar 7, 2015 at 6:53 AM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
Hello Harry,<br>
<br>
As IPsec processing is done by the kernel using policies and the routing is configured using the routing table,<br>
you need to set the MTU on the routes to your endpoints. As strongSwan manages its own routing table, you<br>
need to make strongSwan set the MTU by itself.<br>
You can make it do that by setting charon.plugins.kernel-netlink.mtu in strongswan.conf to the MTU you want.<br>
That option is available since version 5.2.2.<br>
<br>
Mit freundlichen Grüßen/Regards,<br>
Noel Kuntze<br>
<br>
GPG Key ID: 0x63EC6658<br>
Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
<br>
Am 07.03.2015 um 02:42 schrieb Harry Chan-Maestas:<br>
<div><div>> Hi,<br>
><br>
> I am a new StrongSwan user, having switched recently from racoon, and I have a question about IPsec packet fragmentation.<br>
><br>
> In racoon, there is a configuration option "esp_frag". When enabled, racoon will set IPsec to fragment jumbo frames before ESP is applied. I have been look through StrongSwan's Wiki, but have not found any configuration options which would achieve that effect.<br>
><br>
> Would anyone have some suggestions on alternative methods I can take?<br>
><br>
> Any help would be appreciated.<br>
><br>
> Thank you,<br>
><br>
> Harry<br>
><br>
><br>
</div></div>> _______________________________________________<br>
> Users mailing list<br>
> <a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a><br>
> <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v2<br>
<br>
iQIcBAEBCAAGBQJU+xDbAAoJEDg5KY9j7GZY+e4P+QFNuf6AfB+Byio43SKDXIkN<br>
nVSDmO9s5KO3jiPNNVL3XrSgCI+IKveL4SXe87cy3anoVfVwIEYSPhctPFkk3tDZ<br>
BEY+ztGqgJXK8JM9jjeuSQrkj2OzNrLgbbEvojiJMcI8MpfYRx6i/IgJHjECyOm0<br>
fsAouwTfK3PcPv9LT9g1bQX1VP3CmdTzG+NQ68cxkG96p+zWajaG/vasHS49uqeA<br>
6QyJBZXFXmD0fTGrkCE8B3HQTBuZvbA37allNk83wi5VdJ/MIIsxC1Ql86cDhRUs<br>
52TnYRWnVzSQZWLw999HS1FyoPpVC60ikUkD5FMQCqtaegT2qvmTvgsyL+DZVga6<br>
Jsc4UV4A3zmVuuETl4ufE7gE+HegA7Y/qcLXpqCW8GVs125wI+hu2VKG9kVipQSi<br>
hDhBws9waKvxKIL7hy2bhELIlU3r3QPUesFRP1Xu/Vq1Nu/j1t1LkQX30e6e1qQ5<br>
5r90YUHOsOuUlYJS8NhVBlp3r23TwR+u1xivo3K9XmYPXb6Vi4Th0UHPwKkbrEyV<br>
TNyt6h/qYol/spr/mAYnZ7zGwNjUzZRDMoiN/OpJt7iHH8X0reoDiwgIf+9wA1Sx<br>
J5MK9I854j8fHrKsAKbuypQzCk3EFVg1UtayOwgZIh/XU0aAEDc4Ov2b7j3ugx/g<br>
hGWpeY1h/l+C0Qtp3S3g<br>
=/HB+<br>
-----END PGP SIGNATURE-----<br>
<br>
<br>
_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a></blockquote></div><br></div>
</div></div><br>_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br></div><br></div></div></div></div></div></div></div></div>
</blockquote></div>