<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.E-MailFormatvorlage17
{mso-style-type:personal-compose;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri",sans-serif;
mso-fareast-language:EN-US;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="DE" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi, <o:p></o:p></p>
<p class="MsoNormal">we are facing the following problem: <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">We are using a Strongswan-Client (Initiator, details below) to open up a Tunnel with reauthentication enabled and make_before_break=yes.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">After opening up a tunnel initially, we see local (clients) ip routes as follows (as expected):
<o:p></o:p></p>
<p class="MsoNormal">ip route list table 220<o:p></o:p></p>
<p class="MsoNormal">10.0.0.0/8 via 146.185.113.17 dev eth0 proto static src 10.23.7.205<o:p></o:p></p>
<p class="MsoNormal">188.144.0.0/15 via 146.185.113.17 dev eth0 proto static src 10.23.7.205<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">During reauthentication with make_before_break: <o:p></o:p></p>
<p class="MsoNormal">As long as we receive the same virtual IP everything is fine, the ip routes are kept and traffic still can flow through this tunnel.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">But once we receive a different virtual IP from the responder, the ipsec still says „tunnel is active“, but the old ip routes get deleted and no new ones are set up.
<o:p></o:p></p>
<p class="MsoNormal">So, ip route table 220 is empty and hence no traffic will flow through this still active tunnel.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Please note, once we disable make_before_break (which is not an option for us), everything runs smooth, even with new virtual IPs during reauthentication.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Any idea ? <o:p></o:p></p>
<p class="MsoNormal">Thanks for your help !<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">BR, Alex. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><u>Clients OS</u>: <o:p></o:p></p>
<p class="MsoNormal">Linux gtegklvk04067 4.4.114-94.14-default #1 SMP Mon Feb 19 14:46:07 UTC 2018 (14c5f0f) x86_64 x86_64 x86_64 GNU/Linux<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><u>Strongswan Clients Version</u>: <o:p></o:p></p>
<p class="MsoNormal">Linux strongSwan U5.5.3-20180605_3/K4.4.114-94.14-default<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><u>ipsec.conf<o:p></o:p></u></p>
<p class="MsoNormal"># basic configuration<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">config setup<o:p></o:p></p>
<p class="MsoNormal"> charondebug="cfg 2, dmn 2, ike 2, net 9, job -1"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn %default<o:p></o:p></p>
<p class="MsoNormal"> keyexchange=ikev2<o:p></o:p></p>
<p class="MsoNormal"> ike=aes256-sha256-modp2048,aes256-sha1-modp2048!<o:p></o:p></p>
<p class="MsoNormal"> esp=aes256-sha256-modp2048,aes256-sha1-modp2048!<o:p></o:p></p>
<p class="MsoNormal"> dpdaction=clear<o:p></o:p></p>
<p class="MsoNormal"> dpddelay=300s<o:p></o:p></p>
<p class="MsoNormal"> rightid=%any<o:p></o:p></p>
<p class="MsoNormal"> leftcert=my.C_NK_VPN.pem<o:p></o:p></p>
<p class="MsoNormal"> leftsourceip=%config<o:p></o:p></p>
<p class="MsoNormal"> forceencaps=yes<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn RU1_TI_1<o:p></o:p></p>
<p class="MsoNormal"> right=146.185.113.4<o:p></o:p></p>
<p class="MsoNormal"> rightsubnet=10.0.0.0/8,188.144.0.0/15<o:p></o:p></p>
<p class="MsoNormal"> lifetime=5m <o:p></o:p></p>
<p class="MsoNormal"> ikelifetime=2m <o:p></o:p></p>
<p class="MsoNormal"> margintime=1m<o:p></o:p></p>
<p class="MsoNormal"> rekeyfuzz=0%<o:p></o:p></p>
<p class="MsoNormal"> auto=add<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><u>strongswan.conf<o:p></o:p></u></p>
<p class="MsoNormal">charon {<o:p></o:p></p>
<p class="MsoNormal"> make_before_break = yes<o:p></o:p></p>
<p class="MsoNormal"> hash_and_url = no<o:p></o:p></p>
<p class="MsoNormal"> load_modular = yes<o:p></o:p></p>
<p class="MsoNormal"> plugins {<o:p></o:p></p>
<p class="MsoNormal"> include strongswan.d/charon/*.conf<o:p></o:p></p>
<p class="MsoNormal"> }<o:p></o:p></p>
<p class="MsoNormal">}<o:p></o:p></p>
<p class="MsoNormal">include strongswan.d/*.conf<o:p></o:p></p>
</div>
</body>
</html>