<p dir="ltr"><br>
</p>
<p dir="ltr"></p>
<p dir="ltr">On Thu, Jul 23, 2015, 9:06 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>> wrote:</p>
<blockquote><p dir="ltr">> I insert policies using ip xfrm and want to use charon to establish SAs.</p>
<p dir="ltr">For this to work you have to use constant reqids for your connections<br>
(via reqid setting - you'll have to use that reqid in your manually<br>
installed policies) and use auto=route so the config is loaded into the<br>
trap manager.  Just using auto=route with installpolicy=yes (and<br>
automatic reqids) is way easier, though, if you don't have any special<br>
requirements that makes manual installation of policies necessary.<br>
</p>
</blockquote>
<p dir="ltr"><br>
If I use the same reqid in the policy inserted using ip xfrm this should work? Since I am using this in a dynamic environment it is necessary for me to add policies manually. So I will set installpolicy=no. </p>

<blockquote><p dir="ltr"><br>
> 1. Where can I then define the "default" section of ipsec.conf. Can<br>
> this be done using vici?</p>
<p dir="ltr">No, complete connection definitions have to be loaded via VICI.<br>
</p>
</blockquote>
<p dir="ltr"><br>
So variables such as 'keylifetime' need to be added for each conn. I assumed there may be a way to define some parameters such as 'rekey' margin for all connections. </p>
<blockquote><p dir="ltr"><br>
> 2. How can I enable vici if I used apt-get on ubuntu to install<br>
> strongswan-ikev1?</p>
<p dir="ltr">Ubuntu deploys some plugins in separate packages, however it doesn't<br>
look like vici (or swanctl for that matter) is packaged.  So you have to<br>
build strongSwan from sources (or build your own package).</p>
</blockquote>
<p dir="ltr"></p>
<p dir="ltr">I will try this out. Thanks! </p>
<blockquote><p dir="ltr"></p>
<p dir="ltr">Regards,<br>
Tobias<br>
</p>
</blockquote>
<p dir="ltr"><br>
Regards, <br>
Ahmad</p>
<p dir="ltr"></p>