<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">Dear all,</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">I'm testing strongswan-5.7.1 on a Linux Ubuntu-16.04 server to support GRE-over-IPSEC tunnels with remote peers, the public address of which may change from time to time. I thus use 'dynamic[gre]' traffic selector and transport mode tunnels. When the remote peer address changes, strongswan correctly processes the XFRM_MSG_MAPPING message, and updates the xfrm SA and SP in the Linux kernel, except the traffic selector. This results in XfrmInStateMismatch errors when receiving packets from the remote peers. I've attached the swanctl.conf and the charon logs.</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Is it a known issue? Or did I miss something?</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Before changing the remote peer address, remote address is 2.2.2.254<br></div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default"><div class="gmail_default"><font face="tahoma, sans-serif">root@ubuntu-xenial:/ivoctl/vagrant# swanctl -l</font></div><div class="gmail_default"><font face="tahoma, sans-serif">dc_lan2: #1, ESTABLISHED, IKEv2, 17f7b73e0a357e0d_i 2136e2e04936ce5e_r*</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  local  'dc' @ 192.168.2.1[4500]</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  remote 'lan2' @ 2.2.2.254[4500]</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  AES_GCM_16-256/PRF_HMAC_SHA2_384/ECP_384</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  established 439s ago</font></div><div class="gmail_default"><font face="tahoma, sans-serif">  lan2_dc: #1, reqid 1, INSTALLED, TRANSPORT-in-UDP, ESP:AES_GCM_16-256</font></div><div class="gmail_default"><font face="tahoma, sans-serif">    installed 439s ago</font></div><div class="gmail_default"><font face="tahoma, sans-serif">    in  c5dd4c0b,  38544 bytes,   438 packets,     0s ago</font></div><div class="gmail_default"><font face="tahoma, sans-serif">    out c4361bc0,  38544 bytes,   438 packets,     0s ago</font></div><div class="gmail_default"><font face="tahoma, sans-serif">    local  <a href="http://192.168.2.1/32[gre]">192.168.2.1/32[gre]</a></font></div><div class="gmail_default"><font face="tahoma, sans-serif">    remote <a href="http://2.2.2.254/32[gre]">2.2.2.254/32[gre]</a></font></div><div class="gmail_default"><font face="tahoma, sans-serif"><br></font></div><div class="gmail_default"><font face="tahoma, sans-serif">root@ubuntu-xenial:/ivoctl/vagrant# ip -s x s l</font></div><div class="gmail_default"><font face="tahoma, sans-serif">src 192.168.2.1 dst 2.2.2.254</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        proto esp spi 0xc4361bc0(3291880384) reqid 1(0x00000001) mode transport</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        replay-window 0 seq 0x00000000 flag  (0x00000000)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        aead rfc4106(gcm(aes)) 0x2db3e71cf4ee4d1600ff0b173b2480573b1ad30a3c3b8bd4b47f2d7cbb7fbfb5c41e3e6d (288 bits) 128</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        encap type espinudp sport 4500 dport 4500 addr 0.0.0.0</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        anti-replay context: seq 0x0, oseq 0x1be, bitmap 0x00000000</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        sel src <a href="http://192.168.2.1/32">192.168.2.1/32</a> dst <a href="http://2.2.2.254/32">2.2.2.254/32</a> uid 0</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        lifetime config:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          limit: soft (INF)(bytes), hard (INF)(bytes)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          limit: soft (INF)(packets), hard (INF)(packets)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          expire add: soft 0(sec), hard 0(sec)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          expire use: soft 0(sec), hard 0(sec)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        lifetime current:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          39248(bytes), 446(packets)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          add 2018-10-31 13:31:09 use 2018-10-31 13:31:10</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        stats:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          replay-window 0 replay 0 failed 0</font></div><div class="gmail_default"><font face="tahoma, sans-serif">src 2.2.2.254 dst 192.168.2.1</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        proto esp spi 0xc5dd4c0b(3319614475) reqid 1(0x00000001) mode transport</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        replay-window 0 seq 0x00000000 flag  (0x00000000)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        aead rfc4106(gcm(aes)) 0x66973d4ffe9290d89a4e5ad49c820daf586d4e4a8d745d81ef77f13177620036614c6da3 (288 bits) 128</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        encap type espinudp sport 4500 dport 4500 addr 0.0.0.0</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        anti-replay esn context:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">         seq-hi 0x0, seq 0x1be, oseq-hi 0x0, oseq 0x0</font></div><div class="gmail_default"><font face="tahoma, sans-serif">         replay_window 128, bitmap-length 4</font></div><div class="gmail_default"><font face="tahoma, sans-serif">         ffffffff ffffffff ffffffff ffffffff</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        sel src <a href="http://2.2.2.254/32">2.2.2.254/32</a> dst <a href="http://192.168.2.1/32">192.168.2.1/32</a> uid 0</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        lifetime config:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          limit: soft (INF)(bytes), hard (INF)(bytes)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          limit: soft (INF)(packets), hard (INF)(packets)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          expire add: soft 0(sec), hard 0(sec)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          expire use: soft 0(sec), hard 0(sec)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        lifetime current:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          39248(bytes), 446(packets)</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          add 2018-10-31 13:31:09 use 2018-10-31 13:31:10</font></div><div class="gmail_default"><font face="tahoma, sans-serif">        stats:</font></div><div class="gmail_default"><font face="tahoma, sans-serif">          replay-window 0 replay 0 failed 0</font></div><div style="font-family:tahoma,sans-serif"><br></div><div style="font-family:tahoma,sans-serif">After changing the address from 2.2.2.254 to 2.2.2.222, everything is updated, except the SA selector:</div><div style="font-family:tahoma,sans-serif"><br></div><div><div><font face="tahoma, sans-serif">root@ubuntu-xenial:/ivoctl/vagrant# swanctl -l</font></div><div><font face="tahoma, sans-serif">dc_lan2: #1, ESTABLISHED, IKEv2, 17f7b73e0a357e0d_i 2136e2e04936ce5e_r*</font></div><div><font face="tahoma, sans-serif">  local  'dc' @ 192.168.2.1[4500]</font></div><div><font face="tahoma, sans-serif">  remote 'lan2' @ 2.2.2.222[4500]</font></div><div><font face="tahoma, sans-serif">  AES_GCM_16-256/PRF_HMAC_SHA2_384/ECP_384</font></div><div><font face="tahoma, sans-serif">  established 529s ago</font></div><div><font face="tahoma, sans-serif">  lan2_dc: #1, reqid 1, INSTALLED, TRANSPORT-in-UDP, ESP:AES_GCM_16-256</font></div><div><font face="tahoma, sans-serif">    installed 529s ago</font></div><div><font face="tahoma, sans-serif">    in  c5dd4c0b,  45848 bytes,   521 packets,    58s ago</font></div><div><font face="tahoma, sans-serif">    out c4361bc0,  42504 bytes,   483 packets,    38s ago</font></div><div><font face="tahoma, sans-serif">    local  <a href="http://192.168.2.1/32[gre]">192.168.2.1/32[gre]</a></font></div><div><font face="tahoma, sans-serif">    remote <a href="http://2.2.2.222/32[gre]">2.2.2.222/32[gre]</a></font></div><div><font face="tahoma, sans-serif"><br></font></div><div><font face="tahoma, sans-serif">root@ubuntu-xenial:/ivoctl/vagrant# ip -s x s l</font></div><div><font face="tahoma, sans-serif">src 192.168.2.1 dst 2.2.2.222</font></div><div><font face="tahoma, sans-serif">        proto esp spi 0xc4361bc0(3291880384) reqid 1(0x00000001) mode transport</font></div><div><font face="tahoma, sans-serif">        replay-window 0 seq 0x00000000 flag  (0x00000000)</font></div><div><font face="tahoma, sans-serif">        aead rfc4106(gcm(aes)) 0x2db3e71cf4ee4d1600ff0b173b2480573b1ad30a3c3b8bd4b47f2d7cbb7fbfb5c41e3e6d (288 bits) 128</font></div><div><font face="tahoma, sans-serif">        encap type espinudp sport 4500 dport 4500 addr 0.0.0.0</font></div><div><font face="tahoma, sans-serif">        anti-replay context: seq 0x0, oseq 0x1e3, bitmap 0x00000000</font></div><div><font face="tahoma, sans-serif">        <b>sel src <a href="http://192.168.2.1/32">192.168.2.1/32</a> dst <a href="http://2.2.2.254/32">2.2.2.254/32</a> uid 0</b></font></div><div><font face="tahoma, sans-serif">        lifetime config:</font></div><div><font face="tahoma, sans-serif">          limit: soft (INF)(bytes), hard (INF)(bytes)</font></div><div><font face="tahoma, sans-serif">          limit: soft (INF)(packets), hard (INF)(packets)</font></div><div><font face="tahoma, sans-serif">          expire add: soft 0(sec), hard 0(sec)</font></div><div><font face="tahoma, sans-serif">          expire use: soft 0(sec), hard 0(sec)</font></div><div><font face="tahoma, sans-serif">        lifetime current:</font></div><div><font face="tahoma, sans-serif">          42504(bytes), 483(packets)</font></div><div><font face="tahoma, sans-serif">          add 2018-10-31 13:31:09 use 2018-10-31 13:31:10</font></div><div><font face="tahoma, sans-serif">        stats:</font></div><div><font face="tahoma, sans-serif">          replay-window 0 replay 0 failed 0</font></div><div><font face="tahoma, sans-serif">src 2.2.2.222 dst 192.168.2.1</font></div><div><font face="tahoma, sans-serif">        proto esp spi 0xc5dd4c0b(3319614475) reqid 1(0x00000001) mode transport</font></div><div><font face="tahoma, sans-serif">        replay-window 0 seq 0x00000010 flag  (0x00000000)</font></div><div><font face="tahoma, sans-serif">        aead rfc4106(gcm(aes)) 0x66973d4ffe9290d89a4e5ad49c820daf586d4e4a8d745d81ef77f13177620036614c6da3 (288 bits) 128</font></div><div><font face="tahoma, sans-serif">        encap type espinudp sport 4500 dport 4500 addr 0.0.0.0</font></div><div><font face="tahoma, sans-serif">        anti-replay esn context:</font></div><div><font face="tahoma, sans-serif">         seq-hi 0x0, seq 0x210, oseq-hi 0x0, oseq 0x0</font></div><div><font face="tahoma, sans-serif">         replay_window 128, bitmap-length 4</font></div><div><font face="tahoma, sans-serif">         ffffffff ffffffff ffffffff ffffffff</font></div><div><font face="tahoma, sans-serif">        <b>sel src <a href="http://2.2.2.254/32">2.2.2.254/32</a> dst <a href="http://192.168.2.1/32">192.168.2.1/32</a> uid 0</b></font></div><div><font face="tahoma, sans-serif">        lifetime config:</font></div><div><font face="tahoma, sans-serif">          limit: soft (INF)(bytes), hard (INF)(bytes)</font></div><div><font face="tahoma, sans-serif">          limit: soft (INF)(packets), hard (INF)(packets)</font></div><div><font face="tahoma, sans-serif">          expire add: soft 0(sec), hard 0(sec)</font></div><div><font face="tahoma, sans-serif">          expire use: soft 0(sec), hard 0(sec)</font></div><div><font face="tahoma, sans-serif">        lifetime current:</font></div><div><font face="tahoma, sans-serif">          46464(bytes), 528(packets)</font></div><div><font face="tahoma, sans-serif">          add 2018-10-31 13:31:09 use 2018-10-31 13:31:10</font></div><div><font face="tahoma, sans-serif">        stats:</font></div><div><font face="tahoma, sans-serif">          replay-window 0 replay 0 failed 0</font></div><div style="font-family:tahoma,sans-serif"><br></div></div><div style="font-family:tahoma,sans-serif">Best regards,</div><div style="font-family:tahoma,sans-serif"><br></div><div style="font-family:tahoma,sans-serif">Fred.</div></div></div></div></div></div></div>