<div dir="ltr"><div>Hi,</div><div><br></div><div>I'm using strongSwan 5.5.3 with following condition:</div><div>- kernel3.10.104</div><div>- client is Windows7. Type of VPN is IKEv2, authentication is "Use machine certificates"</div><div>- ipsec.conf</div><div>--------------------------</div><div>conn win_client</div><div>        left            = %defaultroute</div><div>        leftauth        = pubkey</div><div>        leftcert        = serverCert.pem</div><div>        leftsubnet      = <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>        leftid          = @<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a></div><div>        right           = %any</div><div>        rightsourceip   = %range1</div><div>        rightid         = "C=JA, O=<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a>, CN=*"</div><div>        rightdns        = 8.8.8.8,8.8.4.4</div><div>        fragmentation   = yes</div><div>        keyexchange     = ikev2</div><div>        ike             = aes256-sha1-modp1024!</div><div>        esp             = aes256-sha1!</div><div>        rekey           = no</div><div>        leftupdown      = "/usr/bin/updown.sh"</div><div>        auto            = add</div><div>--------------------------</div><div><br></div><div>IKE and CHILD_SA was established and communication works fine.</div><div>But, if no traffic is sent and received on Windows for several minutes, the Windows sent informational message and CHILD_SA was closed as below:</div><div>--------------------------------------------------------------</div><div>2017-08-18 09:23:25 strongswan charon: 12[NET] sending packet: from <strongSwan IP address>[4500] to <Windows NAT address>[54578] (204 bytes)</div><div>2017-08-18 09:31:45 strongswan charon: 09[NET] received packet: from <Windows NAT address>[54578] to <strongSwan IP address>[4500] (76 bytes)</div><div>2017-08-18 09:31:45 strongswan charon: 09[ENC] parsed INFORMATIONAL request 6 [ D ]</div><div>2017-08-18 09:31:45 strongswan charon: 09[IKE] received DELETE for ESP CHILD_SA with SPI bf296186</div><div>2017-08-18 09:31:45 strongswan charon: 09[IKE] closing CHILD_SA win_client{3} with SPIs cb24106a_i (300 bytes) bf296186_o (126 bytes) and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://192.168.50.100/32">192.168.50.100/32</a></div><div>2017-08-18 09:31:45 strongswan charon: 09[IKE] closing CHILD_SA win_client{3} with SPIs cb24106a_i (300 bytes) bf296186_o (126 bytes) and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://192.168.50.100/32">192.168.50.100/32</a></div><div>2017-08-18 09:31:45 strongswan charon: 09[IKE] sending DELETE for ESP CHILD_SA with SPI cb24106a</div><div>2017-08-18 09:31:45 strongswan charon: 09[IKE] CHILD_SA closed</div><div>2017-08-18 09:31:45 strongswan charon: 09[ENC] generating INFORMATIONAL response 6 [ D ]</div><div>2017-08-18 09:31:45 strongswan charon: 09[NET] sending packet: from <strongSwan IP address>[4500] to <Windows NAT address>[54578] (76 bytes)</div><div>2017-08-18 09:35:29 strongswan charon: 09[NET] received packet: from <Windows NAT address>[54578] to <strongSwan IP address>[4500] (252 bytes)</div><div>--------------------------------------------------------------</div><div><br></div><div>Then, leftupdown script was executed with "PLUTO_VERB=down-client".</div><div>But, IKE is still alive. And Windows’s adaptor status shows VPN is connecting.</div><div>--------------------------------------------------------------</div><div>[strongswan] ~ # ipsec status</div><div>Security Associations (1 up, 0 connecting):</div><div>  win_client[2]: ESTABLISHED 21 minutes ago, <strongSwan IP address>[<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a>]...<Windows NAT address>[C=JA, O=<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a>, CN=test-perl-client1]</div><div>[strongswan] ~ #</div><div>--------------------------------------------------------------</div><div><br></div><div>Then, I did disconnect on Windows.</div><div>--------------------------------------------------------------</div><div>2017-08-18 13:45:31 strongswan charon: 04[NET] received packet: from <strongSwan IP address>[4500] to <Windows NAT address>[4500] (76 bytes)</div><div>2017-08-18 13:45:31 strongswan charon: 04[ENC] parsed INFORMATIONAL request 9 [ D ]</div><div>2017-08-18 13:45:31 strongswan charon: 04[IKE] received DELETE for IKE_SA win_client[9]</div><div>2017-08-18 13:45:31 strongswan charon: 04[IKE] deleting IKE_SA win_client[9] between <Windows NAT address>[<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a>]...<strongSwan IP address>[C=JA, O=<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a>, CN=test-perl-client1]</div><div>2017-08-18 13:45:31 strongswan charon: 04[IKE] deleting IKE_SA win_client[9] between <Windows NAT address>[<a href="http://test.xxx.yyy.net">test.xxx.yyy.net</a>]...<strongSwan IP address>[C=JA, O=<a href="http://test.xxx.yyy.net.net">test.xxx.yyy.net.net</a>, CN=test-perl-client1]</div><div>2017-08-18 13:45:31 strongswan charon: 04[IKE] IKE_SA deleted</div><div>2017-08-18 13:45:31 strongswan charon: 04[IKE] IKE_SA deleted</div><div>2017-08-18 13:45:31 strongswan charon: 04[ENC] generating INFORMATIONAL response 9 [ ]</div><div>2017-08-18 13:45:31 strongswan charon: 04[NET] sending packet: from <Windows NAT address>[4500] to <strongSwan IP address>[4500] (76 bytes....</div><div>--------------------------------------------------------------</div><div><br></div><div>Is there anything way to execute external script when IKE is created and deleted ?</div><div><br></div><div>regards,</div><div>---</div><div>takumi kadode</div><div><br></div></div>