<div dir="ltr"><div>It looks like I hit send a bit too soon ;-)</div><div>I will investigate more and come back if this is still relevant.</div><div><br></div><div>Thanks,</div><div><br></div><div>Noam</div></div><div class="gmail_extra">
<br><br><div class="gmail_quote">On Mon, Aug 18, 2014 at 11:52 AM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Noam,<br>
<div class=""><br>
> From reading the code and experimenting a bit, it seems that if no traffic<br>
> is being sent using a child-sa (and query_policy consistently returns an<br>
> old time), then eventually the child-sa will be deleted even though the<br>
> peer does answer DPD requests.<br>
<br>
</div>Successful DPD exchanges actually should not influence the deletion of<br>
any CHILD_SA; it closes the IKE/ISAKMP_SA with associated CHILD_SAs, but<br>
only if the peer does not answer after some retransmits.<br>
<br>
There is an "inactivity" option that closes CHILD_SAs if they carry no<br>
traffic for some time, but that is not enabled by default. The CHILD_SA<br>
might get deleted because of its lifetime, with a sane configuration it<br>
should get rekeyed beforehand.<br>
<br>
If you think you see an unexpected/wrong behavior, a log file would<br>
certainly help to see what is going on.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br></div>