<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"><!-- P {margin-top:0;margin-bottom:0;} --></style>
</head>
<body dir="ltr">
<div id="divtagdefaultwrapper" style="font-size:12pt;color:#000000;font-family:Calibri,Arial,Helvetica,sans-serif;">
<p>I was using make_before_break feature in recent strongswan version to avoid packet loss during rekey.
<br>
</p>
<p><br>
</p>
<p>In one of our implementation, we have an ipsec dataplane offload hardware. A kernel module is used to intercept the strong swan messages to kernel's SAD/SPD, via PFKEY, for feeding to hardware.
<br>
</p>
<p><br>
</p>
<p>In make_before_break case I see an insertion of SA(new CHILD_SA establishment), updation of policy and delete of SA(old CHILD_SA closing). I want to understand how do you ensure that the packets encrypted using the old CHILD_SA, be processed at the peer
 successfully before old SAs are deleted?</p>
<p><br>
</p>
<p>Thanks</p>
<p>Pradeep.<br>
</p>
</div>
</body>
</html>