When will the the UTM update to current StrongSWAN build?

An interesting observation. First of all, ipsec VPN's in Astaro somehow do not reset themselves when they should. We have about 50 of them running on our instances and every week there are a several instances where we have to reset it and it just works. Sometimes the VPN connection is detected as down and the DPD is not helping. Sometimes the VPN connection is detected as up, but traffic is not routing. In both cases, when we disable and re-enable the connection, it's good.

That's of course why I had to write scripts to try to automatically manage this (in another post).

Anyway, I tried using ipsec reload to reset that way, as that's what Astaro calls when you change the settings of a VPN connection. I scheduled this to happen periodically. This seemed to work great, however apparently some of the good VPN connections were getting reset also. That caused for traffic to timeout whenever that happened, so we had to stop that.

The interesting part is that ipsec reload is not supposed to affect VPN connections that are already up. So I wonder if because Astaro is using such an old version of StrongSWAN, that it's a bug they have fixed within the past 3 years.

Side question though, is Astaro UI just calling ipsec reload? Or are there other parameters it sends that make it more friendly? This is important because it happens any time you change ANY VPN connection. If it does just ipsec reload, then it means that any time you change ANY VPN connection, all open VPN connections are subject to getting some disruption. And maybe the it's limited to VPN's where they have multiple IP's in the tunnel, and some of those IP's are reported as DOWN. So at that time, ipsec reload might be trying to reset them, taking out the IP's that are reported UP since they are part of the same tunnel.

And the Astaro version does not seem to matter; I see the same behavior with a v8 we're using and a v9. Plus I know the StrongSWAN ipsec version between them is the same anyway, just a slightly different build but both versions 4.4.1.

An interesting observation. First of all, ipsec VPN's in Astaro somehow do not reset themselves when they should. We have about 50 of them running on our instances and every week there are a several instances where we have to reset it and it just works. Sometimes the VPN connection is detected as down and the DPD is not helping. Sometimes the VPN connection is detected as up, but traffic is not routing. In both cases, when we disable and re-enable the connection, it's good.

That's of course why I had to write scripts to try to automatically manage this (in another post).

Anyway, I tried using ipsec reload to reset that way, as that's what Astaro calls when you change the settings of a VPN connection. I scheduled this to happen periodically. This seemed to work great, however apparently some of the good VPN connections were getting reset also. That caused for traffic to timeout whenever that happened, so we had to stop that.

The interesting part is that ipsec reload is not supposed to affect VPN connections that are already up. So I wonder if because Astaro is using such an old version of StrongSWAN, that it's a bug they have fixed within the past 3 years.

Side question though, is Astaro UI just calling ipsec reload? Or are there other parameters it sends that make it more friendly? This is important because it happens any time you change ANY VPN connection. If it does just ipsec reload, then it means that any time you change ANY VPN connection, all open VPN connections are subject to getting some disruption. And maybe the it's limited to VPN's where they have multiple IP's in the tunnel, and some of those IP's are reported as DOWN. So at that time, ipsec reload might be trying to reset them, taking out the IP's that are reported UP since they are part of the same tunnel.

And the Astaro version does not seem to matter; I see the same behavior with a v8 we're using and a v9. Plus I know the StrongSWAN ipsec version between them is the same anyway, just a slightly different build but both versions 4.4.1.