<p>Hi all,</p>
<p> </p>
<p>following tobias' suggestion, I've added a few python lines to modify (thru vici) connexion configurations.</p>
<p>- add a new child with updated TS list,</p>
<p>- to remove the initial child,</p>
<p>- and to load the new configuration.</p>
<p>This seems to be ok, the modifications are taken into account.</p>
<p> </p>
<p>Unfortunatly, the ipsec tunnel does not change & keep on using the initial child parameters. </p>
<p>It's like I need a additional command so that the strongswan gw applies the new child definition & modify the corresponding tunnel configuration for existing ipsec tunnels. </p>
<p> </p>
<p>I would be happy to test any hint you could have on top on your mind :-).</p>
<p> </p>
<p>thanks,</p>
<p> </p>
<p>Régis</p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<p> </p>
<blockquote style="padding-left: 5px; margin-left: 5px; border-left: #ff0000 2px solid;">> Message du 22/08/17 10:31<br />> De : "FRECHIN and Co" <regis.frechin22@orange.fr><br />> A : "Tobias Brunner" <tobias@strongswan.org>, "Mike Taylor" <mtaylor@unicoi.com>, "'Sarefrech'" <sarefrech@wanadoo.fr>, users@lists.strongswan.org<br />> Copie à : <br />> Objet : Re: [strongSwan] Traffic selector modification ignored when rekeying SA<br />> <br />>
<p>> Hi Tobias,</p>
<p>>  </p>
<p>> one last question :-) : in our opinion, is this something I can do using Vici interface?</p>
<p>>  </p>
<p>> thanks,</p>
<p>>  </p>
<p>> Régis</p>
<p>>  </p>
<p>>  </p>
<p>>  </p>
<p>>  </p>
<blockquote style="padding-left: 5px; margin-left: 5px; border-left: #ff0000 2px solid;">> Message du 21/08/17 16:04<br />> De : "Tobias Brunner" <tobias@strongswan.org><br />> A : "FRECHIN and Co" <regis.frechin22@orange.fr>, "Mike Taylor" <mtaylor@unicoi.com>, "'Sarefrech'" <sarefrech@wanadoo.fr>, users@lists.strongswan.org<br />> Copie à : <br />> Objet : Re: [strongSwan] Traffic selector modification ignored when rekeying SA<br />> <br />> Hi,<br />> <br />> > So as of today, the only way to update traffic selector list for a given<br />> > connexion with strongswan is to wait for the next reauthentication,<br />> > meaning potential packet drops during the process.<br />> <br />> If the remote end's config allows it, you can create a new CHILD_SA with<br />> new TS and remove the old one.<br />> <br />> Regard,<br />> Tobias<br />></blockquote>
</blockquote>