<div dir="ltr">Hello!<div>Any help would be appreciated on the issue.</div><div>Strongswan version 5.3.5.<br><div>We have a trouble connected with traffic loss on IKEv2 rekeying, with multiple nets in leftsubnet and rightsubnet configured.</div><div>My investigation of the issue shows that the reason is the following:</div><div>1) when CHILD_SA on our side expires, strongswan sends a CREATE_CHILD_SA request, containing all networks listed in left- and rightsubnet in Traffic Selector fields of the proposal.</div><div>2) Our peer (I am not sure what software or hardware they use) responds only with the <b>first</b> left- and right- network pair as a match. As a result, when rekeying is needed for subnets different than the first ones in a set, SAs are not created for them because they are not matched by the peer.</div><div>3) However, when rekeying is done by the peer, they send only those subnets in traffic selectors, for which CHILD_SAs are expired.</div><div><br></div><div>As a result, when our side is initiating rekeying, we are experiencing some traffic loss for some subnet pairs until these SAs are not rekeyed by the peer.</div><div><br></div><div>So my question is: is it a default behavior for strongswan to list all subnets in Traffic Selector fields even if their CHILD SAs are not expired yet? Is it possible to change this behavior to include only those subnets, which need rekeying, into proposals? Is it an expected behavior for our peer? What would you suggest?</div><div><br></div><div>The configuration of the peer as follows:</div><div><div>conn myconn</div><div>        left=our.ip.address</div><div>        leftid=<a href="http://our.id">our.id</a></div><div>        leftsubnet=our.ip.net.1,our.ip.net.2,our.ip.net.3</div><div>        right=their.ip.address</div><div>        rightid=<a href="http://their.id">their.id</a></div><div>        rightsubnet=their.ip.net.1,their.ip.net.2,their.ip.net.3</div><div>        authby=psk</div><div>        auto=route</div><div>        keyexchange=ikev2</div><div>        lifetime=1h</div><div>        ikelifetime=8h</div><div>        ike=aes256-sha1-modp1024</div><div>        esp=aes256-sha1</div><div>        dpdaction=restart</div><div><br></div></div><br class="inbox-inbox-Apple-interchange-newline"></div></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><p dir="ltr">BR, Kseniya</p>
</div>