<div dir="ltr"><div><div>Hi There,<br></div>     I have a setup of ipsec between two linux boxes running ubuntu, kernel version 3.16.0-50.<br></div><div>VTI interface is configured with ikey and okey. The IPsec connection has <a href="http://0.0.0.0/0">0.0.0.0/0</a> --- <a href="http://0.0.0.0/0">0.0.0.0/0</a><br></div><div>as selector on both sides. I have disabled install_routes in charon.conf so that I can add routes<br></div><div>and avoid all traffic getting encrypted. The send works fine. On receive side decryption also<br></div><div>happens and I can see the plan text packet using tcpdump on the VTI interface. But the packet<br></div><div>gets dropped later. /proc/bet/xfrm_stat shows XfrmInTmplMismatch incremented. This counter<br></div><div>indicates that packet was dropped because of invalid policy. <br></div><div>But I do see the plain text packet in tcpdump which means netif_rx was called. After that there must<br></div><div>be one more xfrm_policy_check which could be dropping the packet. THe policy check happens<br></div><div>once before the packet decryption. THe policy check happens once after the decryption.<br></div><div>I did not understand the intent of policy check after decryption.<br><br><br></div><div>Is <a href="http://0.0.0.0/0">0.0.0.0/0</a> <---> <a href="http://0.0.0.0/0">0.0.0.0/0</a> an unsupported IPsec selector even when VTI is used<br></div><div>with install_routes set to no ?<br></div><div>A post to this mail with similar setup albeit without install_routes disabled was posted<br></div><div>a while ago.<br><a href="http://comments.gmane.org/gmane.network.vpn.strongswan.user/9404">http://comments.gmane.org/gmane.network.vpn.strongswan.user/9404</a><br><br><br></div><div>Please help.<br><br></div><div>Thanks<br></div><div>-Shashidhar<br></div><div>PS - the same configuration works fine with linux-3.16.0-30 kernel. Kernel hangs after couple<br></div><div>of hours of traffic though.<br></div></div>