
<div dir="ltr">Hi Noel,<div><br></div><div>Thanks for a quick reply.</div><div>"ipsec rereadcrls" and "ipsec stroke rereadcrls" both don't have any effect.</div><div>I guess both are same commands only.</div><div><br></div><div>PS: We tried it on v5.2.2</div><div><br></div><div>BR</div><div>Sajal</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 26, 2015 at 4:11 PM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA256<br>

<br>

Hello,<br>

<br>

Did you try using "ipsec stroke rereadcrls"?<br>

<br>

Mit freundlichen Grüßen/Kind Regards,<br>

Noel Kuntze<br>

<br>

GPG Key ID: 0x63EC6658<br>

Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>

<span class=""><br>

Am 26.05.2015 um 12:39 schrieb Sajal Malhotra:<br>

> Dear Strongswan team,<br>

><br>

> We are facing similar problem as reported by Shobhit here.<br>

> 1. We had a CRL say "abc.pem" that was present in /etc/ipsec.d/crls. This was loaded correctly by Strongswan stack<br>

> 2. However before the Nextupdate time expired, we got an updated CRL with certificate of peer revoked in it<br>

> 3. Placed this updated CRL with same name "abc.pem" in same directory /etc/ipsec.d/crls and then executed "ipsec rereadcrls".<br>

><br>

> However it is noticed that Strongswan does not loads this CRL immediately. It only does that only after NextUpdate time of old CRL has expired.<br>

> Is there any way to force strongswan to reload the CRL file with same name but updated contents?<br>

><br>

> I mean this could be very much possible that a CA issues a new CRL before its NextUpdate time and then different Nodes should be able to take this CRL into use. Isn't it?<br>

><br>

> BR<br>

> Sajal<br>

><br>

><br>

><br>

><br>

</span><span class="">> On Mon, Jan 27, 2014 at 8:10 PM, shobhit shingla <<a href="mailto:coolshobhit7@gmail.com">coolshobhit7@gmail.com</a> <mailto:<a href="mailto:coolshobhit7@gmail.com">coolshobhit7@gmail.com</a>>> wrote:<br>

><br>

><br>

>     Hi,<br>

><br>

>     Here is the scenario<br>

><br>

>     IPSEC CRL is present in /etc/ipsec.d/crls for revoked certificate of other side.<br>

>     IPSEC tunnel is not established since certificate is revoked.<br>

><br>

>     Now remove CRL file from /etc/ipsec.d/crls/ and run these commands<br>

><br>

>     ipsec purgecrls<br>

>     ipsec rereadcrls<br>

><br>

>     Expected behaviour -<br>

>     IPSEC CRL cache should be flushed after purgecrls<br>

><br>

>     Now when ipsec rereadcrls is invoked, as now there are no crls in /etc/ipsec.d/crls, there should be no CRLs in the ipsec and hence ipsec listcrls should be empty.<br>

><br>

>     Also IPSEC tunnel should now get established without restarting ipsec.<br>

><br>

><br>

>     Actual behaviour<br>

>     ipsec purgecrls command does not flush the CRL cache. This we have verified using ipsec listcrls commands after flushing.<br>

><br>

>     ipsec tunnel is not established after crl is removed without restart.<br>

><br>

><br>

><br>

><br>

>     Thanks and regards,<br>

>     Shobhit<br>

><br>

>     _______________________________________________<br>

>     Users mailing list<br>

</span>>     <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a> <mailto:<a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>><br>

>     <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>

<span class="">><br>

><br>

><br>

><br>

> _______________________________________________<br>

> Users mailing list<br>

> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>

> <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>

<br>

</span>-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG v2<br>

<br>

iQIcBAEBCAAGBQJVZE3MAAoJEDg5KY9j7GZYUpcP/R99eNMG5g1jkBmN9WTzmNLo<br>

4/E7VXjGB7kDTGnR7W0d+UNbq/uz1SY9KQEytzj24MuKB5YOzML/DBTGZPLJdVQ5<br>

k9MKblHP/9ZUxbf88yBnEaEV++rUhi9bbYiFccL6y41DRSj4WjsOiVlAczl9/cX2<br>

pyOzUsjpYm7iL/I2O0fTMMQIZGCl4Mcr6aUxSonSTeyQBepRx8dSnTCehw8ipHnG<br>

7BJNL53iV9o0pGTgQSvOkUojHUD/B7Td/vFFNWl4EKBOiRtDg00xCkhLhr6A7lQR<br>

BmuZ7furSFHWkliSrZuyk/PJXSeJP7c2XZ0LLpiqT56uekYK7bbVItCV6Rg14TrD<br>

T8aZxmPIFPhDWHG89lkGQ0uz1ZeIKr/1pKWp30brX3h/5Cpu1FcAiuJr1FaBbK0B<br>

gcu/HpDRg9tO7z0uJeKp8aqnSdQUARuLbT/Hi9mx9oj7gnVtK9ie+5X67w3EIvHK<br>

hZM2LB7s1UOfTZquMjLZOkPExbcdrgQNs9JU7YahWYC/gIy7HIJxv7fFt0fUAZZ9<br>

qlqN2AGAxItRRAhQjIGiQ6KWlZsFzlXxGcrPZS+A40m579WtqBrGpICfFIFnKQCf<br>

h8zPc8ttzPEWjeM20BXvV12BuGzdXhMLUMsHEKsbl+maBEQGuYjg0MzrnLQ2FfQb<br>

bse3V3hk0xKE87S35DM/<br>

=cvIJ<br>

-----END PGP SIGNATURE-----<br>

<br>

</blockquote></div><br></div>