<div dir="ltr"><div><div><div><div><div><div>Hi Tobias,<br><br></div>Thanks for the reply.<br></div><br></div>I have set fragment_size = 1200 in strongswan.conf and fragmentation=yes in the ipsec.conf in the client side . Even though it is 1200, ike packets that are sent from the client are of the size 576. I have not changed the configuration file, as the generation of the file is automated.<br><br></div><div>Later I found that there are some trailing characters at the end(shown in bold below) which corrupted the strongswan.conf file. <br><br>charon {<br><br>        # number of worker threads in charon<br>        threads = 16<br><br>        close_ike_on_child_failure = yes<br>        retransmit_tries = 20<br>        retransmit_timeout = 20<br>        retransmit_base = 1<br>        fragment_size = 1200<br><br>        keep_alive = 20s<br>        # send strongswan vendor ID?<br>        # send_vendor_id = yes<br><br>        plugins {<br><br>                sql {<br>                        # loglevel to log into sql database<br>                        loglevel = -1<br>                        # URI to the database<br>                        # database = sqlite:///path/to/file.db<br>                        # database = mysql://user:password@localhost/database<br>                }<br>                resolve{<br>                       file = /etc/resolvtunnel.conf<br>                }<br>        }<br>}<br><br>pluto {<br><br>}<br>libstrongswan {<br>        #  set to no, the DH exponent size is optimized<br>        #  dh_exponent_ansi_x9_42 = no<br>}<br><br><b>o, the DH exponent size is optimized<br>        #  dh_exponent_ansi_x9_42 = no<br>}</b><br><br></div>So I think, since the strongswan file is not proper, charon would have defaulted to 576. Please clarify.<br><br><br></div>Regards,<br></div>Sriram<br><div><div><br><br><div><br></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Jul 29, 2016 at 1:48 PM, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Sriram,<br>
<span><br>
> But the concern is fragment size, though it is set as 1200,<br>
> fragment_size of 576 is seen in the wireshark.<br>
<br>
</span>I'm assuming for packets sent by the gateway.  The fragment size is not<br>
negotiated, so the gateway might just default to the minimum datagram<br>
size a host must be able to accept, which is 576 for IPv4.<br>
<br>
If it is for packets sent by the client make sure the<br>
charon.fragment_size setting you configured is actually picked up (i.e.<br>
you edited the right file) and it does not get changed by e.g. an<br>
included config file.<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br></div></div>