<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">Dear all</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">I'm using strongswan-5.7.2 on a Linux Debian 9 to support GRE-over-IPSEC tunnels in a hub-and-spoke topology. The start_action is configured as 'trap' , with the traffic selector "dynamic[gre]" (see the attached spoke swanctl.conf)</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">When the spoke wan interface address is changed, the GRE "trap" policy in the kernel is not updated.</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Before modifying the 'rt2p2' interface, which connects the machine to the WAN:</div><div class="gmail_default"><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">root@stretch:/ivoctl/vagrant# ip x p l</div><div class="gmail_default" style="font-family:tahoma,sans-serif">src <b><a href="http://192.168.2.2/32">192.168.2.2/32</a></b> dst <a href="http://1.1.1.254/32">1.1.1.254/32</a> proto gre</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        dir out priority 366976 ptype main</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default" style="font-family:tahoma,sans-serif">                proto esp reqid 1 mode transport</div><div class="gmail_default" style="font-family:tahoma,sans-serif">src <a href="http://1.1.1.254/32">1.1.1.254/32</a> dst <a href="http://192.168.2.2/32">192.168.2.2/32</a> proto gre</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        dir in priority 366976 ptype main</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default" style="font-family:tahoma,sans-serif">                proto esp reqid 1 mode transport</div><div><div><font face="tahoma, sans-serif">root@stretch:/ivoctl/vagrant# ip a l dev rt2p2</font></div><div><font face="tahoma, sans-serif">11: rt2p2@if12: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000</font></div><div><font face="tahoma, sans-serif">    link/ether 76:c0:22:e8:c2:42 brd ff:ff:ff:ff:ff:ff link-netnsid 0</font></div><div><font face="tahoma, sans-serif">    inet <b><a href="http://192.168.2.2/24">192.168.2.2/24</a></b> scope global rt2p2</font></div><div><font face="tahoma, sans-serif">       valid_lft forever preferred_lft forever</font></div><div><font face="tahoma, sans-serif">    inet6 fe80::74c0:22ff:fee8:c242/64 scope link</font></div><div><font face="tahoma, sans-serif">       valid_lft forever preferred_lft forever</font></div></div><div style="font-family:tahoma,sans-serif"><br></div></div><div class="gmail_default" style="font-family:tahoma,sans-serif">After modifying the 'rt2p2' interface:<br></div><div class="gmail_default"><div class="gmail_default" style="font-family:tahoma,sans-serif"><div class="gmail_default">root@stretch:/ivoctl/vagrant# ip x p l</div><div class="gmail_default">src <b><a href="http://192.168.2.2/32">192.168.2.2/32</a> </b>dst <a href="http://1.1.1.254/32">1.1.1.254/32</a> proto gre</div><div class="gmail_default">        dir out priority 366976 ptype main</div><div class="gmail_default">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default">                proto esp reqid 1 mode transport</div><div class="gmail_default">src <a href="http://1.1.1.254/32">1.1.1.254/32</a> dst <a href="http://192.168.2.2/32">192.168.2.2/32</a> proto gre</div><div class="gmail_default">        dir in priority 366976 ptype main</div><div class="gmail_default">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default">                proto esp reqid 1 mode transport</div><div class="gmail_default"><div class="gmail_default">root@stretch:/ivoctl/vagrant# ip a l dev rt2p2</div><div class="gmail_default">11: rt2p2@if12: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000</div><div class="gmail_default">    link/ether 76:c0:22:e8:c2:42 brd ff:ff:ff:ff:ff:ff link-netnsid 0</div><div class="gmail_default">    inet <b><a href="http://192.168.2.18/24">192.168.2.18/24</a></b> scope global rt2p2</div><div class="gmail_default">       valid_lft forever preferred_lft forever</div><div class="gmail_default">    inet6 fe80::74c0:22ff:fee8:c242/64 scope link</div><div class="gmail_default">       valid_lft forever preferred_lft forever</div><div><br></div></div></div><div class="gmail_default" style="font-family:tahoma,sans-serif">The fun part is that if the tunnel was already up, the "active" kernel policy is correctly updated, but not the "trap" policy: after modifying the 'rt2p2' interface with an active tunnel, I see 2 policies (and the traffic is correctly forwarded in the tunnel) :</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default"><div class="gmail_default" style="font-family:tahoma,sans-serif">root@stretch:/ivoctl/vagrant# ip x p l</div><div class="gmail_default" style="font-family:tahoma,sans-serif">src <b><a href="http://192.168.2.18/32">192.168.2.18/32</a></b> dst <a href="http://1.1.1.254/32">1.1.1.254/32</a> proto gre</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        dir out priority 366975 ptype main</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default" style="font-family:tahoma,sans-serif">                proto esp <b>spi 0xc5da1439</b> reqid 1 mode transport</div><div class="gmail_default" style="font-family:tahoma,sans-serif">src <a href="http://1.1.1.254/32">1.1.1.254/32</a> dst <a href="http://192.168.2.18/32">192.168.2.18/32</a> proto gre</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        dir in priority 366975 ptype main</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default" style="font-family:tahoma,sans-serif">                proto esp reqid 1 mode transport</div><div class="gmail_default" style="font-family:tahoma,sans-serif">src <a href="http://1.1.1.254/32">1.1.1.254/32</a> dst <a href="http://192.168.2.2/32">192.168.2.2/32</a> proto gre</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        dir in priority 366976 ptype main</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default" style="font-family:tahoma,sans-serif">                proto esp reqid 1 mode transport</div><div class="gmail_default" style="font-family:tahoma,sans-serif">src <b><a href="http://192.168.2.2/32">192.168.2.2/32</a></b> dst <a href="http://1.1.1.254/32">1.1.1.254/32</a> proto gre</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        dir out priority 366976 ptype main</div><div class="gmail_default" style="font-family:tahoma,sans-serif">        tmpl src 0.0.0.0 dst 0.0.0.0</div><div class="gmail_default" style="font-family:tahoma,sans-serif">                proto esp reqid 1 mode transport</div><div style="font-family:tahoma,sans-serif"><br></div><div style="font-family:tahoma,sans-serif">So I actually discovered the issue on a real case when the tunnel went down due to Internet connectivity issues.</div><div style="font-family:tahoma,sans-serif"><br></div><div style="font-family:tahoma,sans-serif">Here's the relevant charon log (the connection's name is "lan2_dc") when the address is changed:</div><div style="font-family:tahoma,sans-serif"><br></div><div><div><font face="tahoma, sans-serif">Mar 11 16:44:44 06[KNL] <lan2_dc|1> querying policy <a href="http://192.168.2.2/32[gre]">192.168.2.2/32[gre]</a> === <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> out</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[KNL] <lan2_dc|1> no address found to reach <a href="http://1.1.1.254/32">1.1.1.254/32</a></font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> old path is not available anymore, try to find another</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> looking for a route to 1.1.1.254 ...</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[KNL] <lan2_dc|1> using 192.168.2.18 as address to reach <a href="http://1.1.1.254/32">1.1.1.254/32</a></font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> reauthenticating IKE_SA due to address change</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[KNL] <lan2_dc|1> using 192.168.2.18 as address to reach <a href="http://1.1.1.254/32">1.1.1.254/32</a></font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> reauthenticating IKE_SA lan2_dc[1]</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> queueing IKE_REAUTH task</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> activating new tasks</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1>   activating IKE_REAUTH task</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> deleting IKE_SA lan2_dc[1] between 192.168.2.18[lan2]...1.1.1.254[dc]</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> IKE_SA lan2_dc[1] state change: ESTABLISHED => DELETING</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[IKE] <lan2_dc|1> sending DELETE for IKE_SA lan2_dc[1]</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 06[NET] <lan2_dc|1> sending packet: from 192.168.2.18[500] to 1.1.1.254[500] (65 bytes)</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 12[NET] <lan2_dc|1> received packet: from 1.1.1.254[500] to 192.168.2.18[500] (57 bytes)</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> IKE_SA deleted</font></div></div><div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> restarting CHILD_SA lan2_dc</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_VENDOR task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_INIT task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_NATD task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_CERT_PRE task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_AUTH task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_CERT_POST task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_CONFIG task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing IKE_AUTH_LIFETIME task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> queueing CHILD_CREATE task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> activating new tasks</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_VENDOR task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_INIT task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_NATD task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_CERT_PRE task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_AUTH task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_CERT_POST task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_CONFIG task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating CHILD_CREATE task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1>   activating IKE_AUTH_LIFETIME task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> initiating IKE_SA lan2_dc[2] to 1.1.1.254</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> IKE_SA lan2_dc[2] state change: CREATED => CONNECTING</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[CFG] <lan2_dc|1> configured proposals: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_384/ECP_384</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[CFG] <lan2_dc|1> sending supported signature hash algorithms: sha256 sha384 sha512 identity</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[NET] <lan2_dc|1> sending packet: from 192.168.2.18[500] to 1.1.1.254[500] (296 bytes)</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[IKE] <lan2_dc|1> IKE_SA lan2_dc[1] state change: DELETING => DESTROYING</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[CHD] <lan2_dc|1> CHILD_SA lan2_dc{2} state change: INSTALLED => DESTROYING</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> deleting policy <a href="http://192.168.2.2/32[gre]">192.168.2.2/32[gre]</a> === <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> out</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> policy still used by another CHILD_SA, not removed</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> updating policy <a href="http://192.168.2.2/32[gre]">192.168.2.2/32[gre]</a> === <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> out [priority 366976, refcount 1]</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> deleting policy <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> === <a href="http://192.168.2.2/32[gre]">192.168.2.2/32[gre]</a> in</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> policy still used by another CHILD_SA, not removed</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> updating policy <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> === <a href="http://192.168.2.2/32[gre]">192.168.2.2/32[gre]</a> in [priority 366976, refcount 1]</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> deleting SAD entry with SPI cb35fa6f</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> deleted SAD entry with SPI cb35fa6f</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> deleting SAD entry with SPI c53758a8</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 12[KNL] <lan2_dc|1> deleted SAD entry with SPI c53758a8</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[NET] <lan2_dc|2> received packet: from 1.1.1.254[500] to 192.168.2.18[500] (296 bytes)</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> received FRAGMENTATION_SUPPORTED notify</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> received SIGNATURE_HASH_ALGORITHMS notify</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> selecting proposal:</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2>   proposal matches</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> received proposals: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_384/ECP_384</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> configured proposals: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_384/ECP_384</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> selected proposal: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_384/ECP_384</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> received supported signature hash algorithms: sha256 sha384 sha512 identity</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> local host is behind NAT, sending keep alives</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> remote host is behind NAT</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> reinitiating already active tasks</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2>   IKE_CERT_PRE task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2>   IKE_AUTH task</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> authentication of 'lan2' (myself) with pre-shared key</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> successfully created shared key MAC</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> proposing traffic selectors for us:</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2>  <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a></div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> proposing traffic selectors for other:</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2>  <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a></div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[CFG] <lan2_dc|2> configured proposals: ESP:AES_GCM_16_256/NO_EXT_SEQ</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[IKE] <lan2_dc|2> establishing CHILD_SA lan2_dc{3} reqid 1</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[KNL] <lan2_dc|2> got SPI ccf55d90</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 02[NET] <lan2_dc|2> sending packet: from 192.168.2.18[4500] to 1.1.1.254[4500] (259 bytes)</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 09[NET] <lan2_dc|2> received packet: from 1.1.1.254[4500] to 192.168.2.18[4500] (215 bytes)</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 09[IKE] <lan2_dc|2> received USE_TRANSPORT_MODE notify</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 09[IKE] <lan2_dc|2> authentication of 'dc' with pre-shared key successful</div><div style="font-family:tahoma,sans-serif">Mar 11 16:44:48 09[IKE] <lan2_dc|2> IKE_SA lan2_dc[2] established between 192.168.2.18[lan2]...1.1</div><div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 09[IKE] <lan2_dc|2> IKE_SA lan2_dc[2] state change: CONNECTING => ESTABLISHED</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 09[IKE] <lan2_dc|2> scheduling rekeying in 3384s</font></div><div><font face="tahoma, sans-serif">Mar 11 16:44:48 09[IKE] <lan2_dc|2> maximum IKE_SA lifetime 3744s</font></div></div><div style="font-family:tahoma,sans-serif"><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2> selecting proposal:</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2>   proposal matches</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2> received proposals: ESP:AES_GCM_16_256/NO_EXT_SEQ</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2> configured proposals: ESP:AES_GCM_16_256/ECP_384/NO_EXT_SEQ</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2> selected proposal: ESP:AES_GCM_16_256/NO_EXT_SEQ</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2> selecting traffic selectors for us:</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2>  config: <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a>, received: <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a> => match: <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a></div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2> selecting traffic selectors for other:</div><div>Mar 11 16:44:48 09[CFG] <lan2_dc|2>  config: <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a>, received: <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> => match: <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a></div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2> CHILD_SA lan2_dc{3} state change: CREATED => INSTALLING</div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2>   using AES_GCM_16 for encryption</div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2> adding inbound ESP SA</div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2>   SPI 0xccf55d90, src 1.1.1.254 dst 192.168.2.18</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> adding SAD entry with SPI ccf55d90 and reqid {1}</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2>   using encryption algorithm AES_GCM_16 with key size 288</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2>   using replay window of 128 packets</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2>   HW offload: auto</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> 192.168.2.18 is on interface rt2p2</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> HW offload is not supported by kernel</div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2> adding outbound ESP SA</div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2>   SPI 0xc5da1439, src 192.168.2.18 dst 1.1.1.254</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> adding SAD entry with SPI c5da1439 and reqid {1}</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2>   using encryption algorithm AES_GCM_16 with key size 288</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2>   using replay window of 0 packets</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2>   HW offload: auto</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> 192.168.2.18 is on interface rt2p2</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> HW offload is not supported by kernel</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> adding policy <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> === <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a> in [priority 366975, refcount 1]</div><div>Mar 11 16:44:48 09[KNL] <lan2_dc|2> adding policy <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a> === <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a> out [priority 366975, refcount 1]</div><div>Mar 11 16:44:48 09[IKE] <lan2_dc|2> CHILD_SA lan2_dc{3} established with SPIs ccf55d90_i c5da1439_o and TS <a href="http://192.168.2.18/32[gre]">192.168.2.18/32[gre]</a> === <a href="http://1.1.1.254/32[gre]">1.1.1.254/32[gre]</a></div><div>Mar 11 16:44:48 09[CHD] <lan2_dc|2> CHILD_SA lan2_dc{3} state change: INSTALLING => INSTALLED</div><div>Mar 11 16:44:48 09[IKE] <lan2_dc|2> activating new tasks</div><div>Mar 11 16:44:48 09[IKE] <lan2_dc|2> nothing to initiate</div><div><br></div></div></div><div style="font-family:tahoma,sans-serif">Let me know if further information is needed. Is there any workaround or is it a known issue?<br></div><div style="font-family:tahoma,sans-serif"><br></div><div style="font-family:tahoma,sans-serif">Best regards,</div><div style="font-family:tahoma,sans-serif"><br></div><div style="font-family:tahoma,sans-serif">F.Griffoul</div><div style="font-family:tahoma,sans-serif"><br></div></div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div>