kernel-netlink: Try to add new inbound SA if update fails
authorThomas Egerer <thomas.egerer@secunet.com>
Thu, 9 Mar 2017 17:26:35 +0000 (18:26 +0100)
committerTobias Brunner <tobias@strongswan.org>
Tue, 23 May 2017 15:58:51 +0000 (17:58 +0200)
commitd140b3bd3f7ff6f6b7bdc5202bd0dee7f39fa699
tree1f0b03f5b19415dc9eb2a9cb4052e5089e97c9ae
parentbf08e39441f54466078ca81802a7482b3e8f91a2
kernel-netlink: Try to add new inbound SA if update fails

When establishing a traffic-triggered CHILD_SA involves the setup of an
IKE_SA more than one exchange is required. As a result the temporary
acquire state may have expired -- even if the acquire expiration
(xfrm_acq_expires) time is set properly (165 by default).  The expire
message sent by the kernel is not processed in charon since no trap can
be found by the trap manager.
A possible solution could be to track allocated SPIs.  But since this is
a corner case and the tracking introduces quite a bit of overhead, it
seems much more sensible to add a new state if the update of a state
fails with NOT_FOUND.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>
src/libcharon/plugins/kernel_netlink/kernel_netlink_ipsec.c