<div dir="ltr"><div>Ciao Marco,<br><br></div>Probably I'm wrong but I think that the Dead Peer Detection feature could be helpfull for you<br><br><pre>  # dead-peer detection to clear any "dangling" connections in case the client unexpectedly disconnects
<a name="m_-6475704326848097730_ipsec.conf-16"></a>  dpdaction=clear
<a name="m_-6475704326848097730_ipsec.conf-18"></a>  # If the tunnel has no traffic for this long (default 30 secs), Charon will send a dead peer detection packet. The value 0 means to not send such packets, relying on ordinary traffic, which will occur at least once an hour, which is the default rekeying lifetime.
<a name="m_-6475704326848097730_ipsec.conf-19"></a>  dpddelay=33s
<a name="m_-6475704326848097730_ipsec.conf-20"></a>  #  <span class="gmail-il">DPD</span> Retries : 3
<a name="m_-6475704326848097730_ipsec.conf-21"></a>  dpdtimeout=300s  </pre></div><div class="gmail_extra"><br><div class="gmail_quote">2018-01-08 17:12 GMT+01:00 Marco Berizzi <span dir="ltr"><<a href="mailto:pupilla@hotmail.com" target="_blank">pupilla@hotmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello everyone,<br>
<br>
I'm running strongswan 5.6.1 on slackware linux 64 bit<br>
I have found a little problem with my setup. Sometimes<br>
mobile users main mode and quick mode are not dropped<br>
after ike/esp lifetime. Here is my config setup:<br>
<br>
conn rw-mobile<br>
        right=%any<br>
        compress=yes<br>
        leftcert=osw-cert.pem<br>
        leftupdown=/etc/ipsec.d/<wbr>updown/_updown.strongswan.X11<br>
        keylife=80m<br>
        ikelifetime=8h<br>
        rekey=no<br>
        keyingtries=1<br>
        leftid=<a href="mailto:fsw-ve@aive.it">fsw-ve@aive.it</a><br>
        ike=aes128-sha1-modp1024,<wbr>aes128-sha1-modp2048,aes256-<wbr>sha384-ecp384<br>
        esp=aes128-sha1-modp1024,<wbr>aes128-sha1-modp2048,aes256-<wbr>sha256-ecp384<br>
<br>
conn mobile<br>
        also=rw-mobile<br>
        auto=add<br>
        leftsubnet=<a href="http://10.180.0.0/16" rel="noreferrer" target="_blank">10.180.0.0/16</a><br>
        rightsubnet=<a href="http://10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,100.64.0.0/10" rel="noreferrer" target="_blank">10.0.0.0/8,172.16.<wbr>0.0/12,192.168.0.0/16,100.64.<wbr>0.0/10</a><br>
        left=82.184.99.254<br>
<br>
And here is an example of ipsec statusall output:<br>
<br>
mobile[393]: ESTABLISHED 3 days ago, 82.184.99.254[CN=Gateway]...<wbr>195.46.216.198[CN=Jessica]<br>
mobile[393]: IKEv1 SPIs: 15ae977b997e4475_i 3e72597006e642fe_r*, rekeying disabled<br>
mobile[393]: IKE proposal: AES_CBC_256/HMAC_SHA2_384_192/<wbr>PRF_HMAC_SHA2_384/ECP_384<br>
mobile{298}:  INSTALLED, TUNNEL, reqid 260, ESP in UDP SPIs: c5a4f249_i a21eed36_o<br>
mobile{298}:  AES_CBC_256/HMAC_SHA2_256_128/<wbr>ECP_384, 20978 bytes_i (365 pkts, 268111s ago), 417068 bytes_o (373 pkts, 268111s ago), rekeying disabled<br>
mobile{298}:   <a href="http://10.180.0.0/16" rel="noreferrer" target="_blank">10.180.0.0/16</a> === <a href="http://10.247.200.180/32" rel="noreferrer" target="_blank">10.247.200.180/32</a><br>
<br>
As you can see this IKE/ESP SA is not dropped after more<br>
than 74 hours.<br>
The mobile user is defunct but strongswan will not remove<br>
that IKE/ESP SA till when the user will reconnect.<br>
<br>
Is this the expected behaviour?</blockquote></div><br></div>