<div dir="ltr">Noel,<div><br></div><div>IKEv2 should be able to create SA when there are only policies installed and a packet matches with the policy. That was reason I was expecting for above ping to work. If that is not the case what is the use of ACQUIRE message? Let me know if I am missing something here.</div><div><br></div><div>Regards,</div><div>Rajeev</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 2, 2016 at 1:34 PM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Keep it on the mailing lists.<br>
Then don't use a keying daemon. The only things a keying daemon does is install SAs, SPs and routes.<br>
If you don't want charon to do any of those things, don't use it.<br>
<br>
And there's still the VICI API to charon that you can use to dynamically load and unload any configuration.<br>
<span class=""><br>
On 02.06.2016 19:26, rajeev nohria wrote:<br>
> Noel,<br>
><br>
> We are planning to install SA and policies dynamically. We don't want to use the swanctl.conf for configuration using Strongswan 5.4.<br>
><br>
> Thanks,<br>
> Rajeev<br>
><br>
</span><span class="">> On Thu, Jun 2, 2016 at 12:12 PM, Noel Kuntze <<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a> <mailto:<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a>>> wrote:<br>
><br>
>     That's because you installed the policies by yourself. Don't do that.<br>
><br>
>     On 02.06.2016 17:25, rajeev nohria wrote:<br>
>     > I added manual entries for  policy using "ip xfrm policy"  both at receptor and initiator. Both are host and IP address of 10.13.199.185 and 10.13.199.130.<br>
>     ><br>
>     > Initiator:<br>
>     ><br>
>     > sudo ip xfrm policy add src 10.13.199.185 dst 10.13.199.130 dir out tmpl src 10.13.199.185 dst 10.13.199.130 proto esp reqid 16386 mode transport<br>
>     ><br>
>     > sudo ip xfrm policy add src 10.13.199.130 dst 10.13.199.185 dir in tmpl src 10.13.199.130 dst 10.13.199.185 proto esp reqid 16386 mode transport<br>
>     ><br>
>     ><br>
>     ><br>
>     ><br>
>     ><br>
>     > Receptor:<br>
>     ><br>
>     >  sudo ip xfrm policy add src 10.13.199.130 dst 10.13.199.185 dir out tmpl src 10.13.199.130 dst 10.13.199.185 proto esp reqid 16386 mode transport<br>
>     ><br>
>     > sudo ip xfrm policy add src 10.13.199.185 dst 10.13.199.130 dir in tmpl src 10.13.199.185 dst 10.13.199.130 proto esp reqid 16386 mode transport<br>
>     ><br>
>     ><br>
>     ><br>
>     ><br>
>     > when I try to ping, I get following error. I expect it to create dynamic SA and ping to be successful.<br>
>     ><br>
>     > Jun  2 08:03:52 05[KNL] received a XFRM_MSG_ACQUIRE<br>
>     > Jun  2 08:03:52 05[KNL]   XFRMA_TMPL<br>
</span>>     > Jun  2 08:03:52 05[KNL] creating acquire job for policy <a href="http://10.13.199.185/32[udp/48785]" rel="noreferrer" target="_blank">10.13.199.185/32[udp/48785]</a> <<a href="http://10.13.199.185/32[udp/48785]" rel="noreferrer" target="_blank">http://10.13.199.185/32[udp/48785]</a>> <<a href="http://10.13.199.185/32[udp/48785]" rel="noreferrer" target="_blank">http://10.13.199.185/32[udp/48785]</a>> === <a href="http://10.13.199.130/32[udp/1025]" rel="noreferrer" target="_blank">10.13.199.130/32[udp/1025]</a> <<a href="http://10.13.199.130/32[udp/1025]" rel="noreferrer" target="_blank">http://10.13.199.130/32[udp/1025]</a>> <<a href="http://10.13.199.130/32[udp/1025]" rel="noreferrer" target="_blank">http://10.13.199.130/32[udp/1025]</a>> with reqid {16386}<br>
<div class="HOEnZb"><div class="h5">>     > Jun  2 08:03:52 07[CFG] trap not found, unable to acquire reqid 16386<br>
>     ><br>
>     ><br>
>     > Thanks,<br>
>     > Raj<br>
>     ><br>
><br>
><br>
>     --<br>
><br>
>     Mit freundlichen Grüßen/Kind Regards,<br>
>     Noel Kuntze<br>
><br>
>     GPG Key ID: 0x63EC6658<br>
>     Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
><br>
><br>
><br>
<br>
<br>
--<br>
<br>
Mit freundlichen Grüßen/Kind Regards,<br>
Noel Kuntze<br>
<br>
GPG Key ID: 0x63EC6658<br>
Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
<br>
<br>
</div></div></blockquote></div><br></div>