<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi Tobias,<div><br></div><div>That's great news.  You are right, I can see those entries in sys logs. But there is still a strange issue. At 12:09:27 despite the initial disconnect request and acknowledgement, StrongSwan doesn't disconnect the user.</div><div><br></div><div><p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[CFG] reassigning offline lease to 'houman'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[IKE] assigning virtual IP xxxx:54c4:xxxx:1::301 to peer 'houman'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[IKE] CHILD_SA stag-1{26} established with SPIs c8a04ba5_i 041b28de_o and TS <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> ::/0 === <a href="http://10.10.10.1/32" target="_blank">10.10.10.1/32</a> xxx:54c4:4c90:1::301/128</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[CFG] sending RADIUS Accounting-Request to server 'server-a'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 13[CFG] received RADIUS DAE Disconnect-Request for houman from 127.0.0.1</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 13[CFG] no IKE_SA matches Disconnect-Request, sending Disconnect-NAK</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[CFG] received RADIUS Accounting-Response from server 'server-a'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[ENC] generating IKE_AUTH response 6 [ AUTH CPRP(ADDR ADDR6 DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) ]</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:27 stag-1 charon: 05[NET] sending packet: from 172.31.X.X[4500] to 5.78.X.X[4500] (352 bytes)</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue";min-height:14px"><br></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue"">10 seconds later (because of the Acct-Interim-Interval) a second disconnect request is sent.</p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue";min-height:14px"><br></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue"">post-auth {</p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue""><span style="white-space:pre-wrap">  </span>update reply {</p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue""><span style="white-space:pre-wrap">          </span>Acct-Interim-Interval = 10</p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue""><span style="white-space:pre-wrap">  </span>}</p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue"">}</p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal;font-family:"Helvetica Neue";min-height:14px"><br></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 16[CFG] sending RADIUS Accounting-Request to server 'server-a'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 07[CFG] received RADIUS DAE Disconnect-Request for houman from 127.0.0.1</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 07[CFG] closing 1 IKE_SA matching Disconnect-Request, sending Disconnect-ACK</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 07[IKE] deleting IKE_SA stag-1[35] between 172.31.xx.xx[<a href="http://stag-1.xxx.com" target="_blank"><span style="color:rgb(220,161,13)">stag-1.xxx.com</span></a>]…5.78.xxx.xx[<a href="http://stag-1.xxx.com" target="_blank">stag-1.xxx.com</a>]</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 07[IKE] sending DELETE for IKE_SA stag-1[35]</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 07[ENC] generating INFORMATIONAL request 0 [ D ]</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 07[NET] sending packet: from 172.31.xx.xx[4500] to 5.78.xx.xx[4500] (80 bytes)</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 16[CFG] received RADIUS Accounting-Response from server 'server-a'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[NET] received packet: from 5.78.xx.xx[4500] to 172.31.xx.xx[4500] (80 bytes)</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[ENC] parsed INFORMATIONAL response 0 [ ]</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[IKE] IKE_SA deleted</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[CFG] sending RADIUS Accounting-Request to server 'server-a'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 11[CFG] received RADIUS DAE Disconnect-Request for houman from 127.0.0.1</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 11[CFG] no IKE_SA matches Disconnect-Request, sending Disconnect-NAK</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[CFG] received RADIUS Accounting-Response from server 'server-a'</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[CFG] lease fdd2:54c4:4c90:1::301 by 'houman' went offline</font></p>
<p style="margin:0px;font-stretch:normal;font-size:12px;line-height:normal"><font face="monospace">Oct 15 12:09:37 stag-1 charon: 06[CFG] lease 10.10.10.1 by 'houman' went offline</font></p></div><div><br></div><div>Only this time it actually works and the user is disconnected.  Why isn't it working the first time around?</div><div><br></div><div>Many Thanks,</div><div>Houman</div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 15 Oct 2019 at 15:34, Tobias Brunner <<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hi Houman,<br>
<br>
> What attributes *should* be in the Disconnect-Request beside User-Name? <br>
<br>
None, that's fine.  If you receive a NAK that means no IKE_SA was found<br>
with a matching remote identity.  You should see something like this in<br>
the strongSwan log:<br>
<br>
> received RADIUS DAE Disconnect-Request for houman from 127.0.0.1<br>
> no IKE_SA matches houman, sending Disconnect-NAK<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>