<meta http-equiv="Content-Type" content="text/html; charset=utf-8"><div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">Hello,<br>I have a problem. ipsec tunnel compiled on libreswan 4.1 (centos 8) for 1 client causes it to disconnect after 3600s. the same configuration on libreswan 3.23 (centos 7) does not cause such problems. conf file, password, iptables, entries in routing table identical. </div><div class="gmail_default" style="font-family:tahoma,sans-serif">I checked sysctl - identical. the only difference is selinux (centos 7 has enforce, centos 8 disabled).</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">libreswan 3.23 (centos 7):  <br><b>ipsec verify<br></b>Verifying installed system and configuration files<br><br>Version check and ipsec on-path [OK]<br>Libreswan 3.23 (netkey) on 3.10.0-862.3.2.el7.x86_64<br>Checking for IPsec support in kernel [OK]<br> NETKEY: Testing XFRM related proc values<br>         ICMP default / send_redirects [NOT DISABLED]<br><br>  Disable / proc / sys / net / ipv4 / conf / * / send_redirects or NETKEY will act on or cause sending of bogus ICMP redirects!<br><br>         ICMP default / accept_redirects [OK]<br>         XFRM larval drop [OK]<br>Pluto ipsec.conf syntax [OK]<br>Two or more interfaces found, checking IP forwarding [OK]<br>Checking rp_filter [ENABLED]<br> / proc / sys / net / ipv4 / conf / all / rp_filter [ENABLED]<br> / proc / sys / net / ipv4 / conf / default / rp_filter [ENABLED]<br> / proc / sys / net / ipv4 / conf / em1 / rp_filter [ENABLED]<br> / proc / sys / net / ipv4 / conf / em2 / rp_filter [ENABLED]<br> / proc / sys / net / ipv4 / conf / ip_vti0 / rp_filter [ENABLED]<br>  rp_filter is not fully aware of IPsec and should be disabled<br>Checking that pluto is running [OK]<br> Pluto listening for IKE on udp 500 [OK]<br> Pluto listening for IKE / NAT-T on udp 4500 [OK]<br> Pluto ipsec.secret syntax [OK]<br>Checking 'ip' command [OK]<br>Checking 'iptables' command [OK]<br>Checking 'prelink' command does not interfere with FIPS [OK]<br>Checking for obsolete ipsec.conf options [OK]<br><br>ipsec verify: encountered 12 errors - see 'man ipsec_verify' for help<br><br><b>And for libreswan 4.1 (centos 8):</b></div><div class="gmail_default" style="font-family:tahoma,sans-serif"><b> ipsec verify</b><br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif">Verifying installed system and configuration files<br><br>Version check and ipsec on-path [OK]<br>Libreswan 4.1 (netkey) on 4.18.0-193.28.1.el8_2.x86_64<br>Checking for IPsec support in kernel [OK]<br> NETKEY: Testing XFRM related proc values<br>         ICMP default / send_redirects [OK]<br>         ICMP default / accept_redirects [OK]<br>         XFRM larval drop [OK]<br>Pluto ipsec.conf syntax [OK]<br>Checking rp_filter [OK]<br>Checking that pluto is running [OK]<br> Pluto listening for IKE on udp 500 [OK]<br> Pluto listening for IKE / NAT-T on udp 4500 [OK]<br> Pluto ipsec.secret syntax [OK]<br>Checking 'ip' command [OK]<br>Checking 'iptables' command [OK]<br>Checking 'prelink' command does not interfere with FIPS [OK]<br>Checking for obsolete ipsec.conf options [OK]<br><br>Where to look for the problem?<br clear="all"></div></div>