<p>Hi,</p>
<p><br />thank you for the feedbacks.</p>
<p> </p>
<p>So as of today, the only way to update traffic selector list for a given connexion with strongswan is to wait for the next reauthentication, meaning potential packet drops during the process.</p>
<p> </p>
<p>My idea was initially to set a quite low rekeying time (to quickly update TS list) & and a high reauth timer. Now that I can rely only on reauth timer & like to keep this timer quite high (to avoid packet losts), I wonder if I can ponctually (when TS list changes) force reauthentication. Any hint, thru vici perhaps?</p>
<p> </p>
<p>thanks a lot,</p>
<p> </p>
<p>Régis</p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<blockquote style="padding-left: 5px; margin-left: 5px; border-left: #ff0000 2px solid;">> Message du 13/07/17 18:05<br />> De : "Mike Taylor" <mtaylor@unicoi.com><br />> A : "'Tobias Brunner'" <tobias@strongswan.org>, "'Sarefrech'" <sarefrech@wanadoo.fr>, users@lists.strongswan.org<br />> Copie à : <br />> Objet : RE: [strongSwan] Traffic selector modification ignored when rekeying SA<br />> <br />> Hello, I happened to be working to upgrade an existing IKEv2 to RFC7296 and <br />> one of the things I noticed in RFC7296 came to mind when seeing this thread.<br />> <br />> From RFC7296 Section 1.7<br />> <br />> In Section 2.8, "Note that, when rekeying, the new Child SA MAY have<br />> different Traffic Selectors and algorithms than the old one" was<br />> changed to "Note that, when rekeying, the new Child SA SHOULD NOT<br />> have different Traffic Selectors and algorithms than the old one".<br />> <br />> So the behavior of changing the traffic selectors during rekey is discouraged<br />> although not completely forbidden. <br />> <br />> Regards,<br />> <br />> Mike<br />> <br />> -----Original Message-----<br />> From: Users [mailto:users-bounces@lists.strongswan.org] On Behalf Of Tobias Brunner<br />> Sent: Thursday, July 13, 2017 8:58 AM<br />> To: Sarefrech; users@lists.strongswan.org<br />> Subject: Re: [strongSwan] Traffic selector modification ignored when rekeying SA<br />> <br />> Hi,<br />> <br />> > Is there a way to force TS modification at rekeying time ?<br />> <br />> No.<br />> <br />> Regards,<br />> Tobias<br />> <br />> </blockquote>