<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi Tobias,<div><br></div><div>Thank you so much for the detailed explanation. You brought up some interesting points.</div><div><br></div>I could disable <b>forceencaps=no</b> but having it enabled helps overcoming restrictive firewalls.  So maybe it's better for my users if I disabled IPv6 instead. Do you agree?</div><div dir="ltr">Or is forcing it not such a big deal after all?<br><div><br></div><div>What is strange is that I thought I had disabled ipv6, like this:</div><div><br></div><div><b>/etc/sysctl.conf</b><br></div><div><div>net.ipv4.ip_forward = 1</div><div>net.ipv4.ip_no_pmtu_disc = 1</div><div>net.ipv4.conf.all.rp_filter = 1</div><div>net.ipv4.conf.all.accept_redirects = 0</div><div>net.ipv4.conf.all.send_redirects = 0</div><div>net.ipv6.conf.all.disable_ipv6 = 1</div><div>net.ipv6.conf.default.disable_ipv6 = 1</div><div>net.ipv6.conf.lo.disable_ipv6 = 1</div></div><div><br></div><div>Where do I disable it then?</div><div><br></div><div>Many Thanks,</div><div>Houman</div></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, 6 Jul 2020 at 10:08, Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hi Houman,<br>
<br>
> We have two types of servers. Same users are doing ok on servers with<br>
> StrongSwan 5.7.2 on kernel  5.3.0-53-generic.<br>
> <br>
> But on the servers with StrongSwan 5.8.2 with kernel* 5.4.0-39-generic,<br>
> *the issue arises. (Not for all users, but quite a few)<br>
<br>
I had a closer look at the log and now saw what the problem is.  It has<br>
nothing to do with the strongSwan or kernel version.<br>
<br>
The problem is that the client moves from an IPv4 address to an IPv6<br>
address and you apparently have UDP-encapsulation forced (see the<br>
"faking NAT situation to enforce UDP encapsulation").  However, the<br>
Linux kernel currently does not support UDP encapsulation for IPv6 (the<br>
upcoming 5.8 kernel will be the first one with support for it), so you<br>
get that error when the daemon tries to replace the IPv4 SA with an IPv6<br>
SA that has UDP encapsulation enabled.  Try without forcing UDP<br>
encapsulation (or disable IPv6 in the socket-default plugin if you don't<br>
want clients to use it).<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>