<div dir="ltr"><p>Hi,</p><p>I am using strongswan in my project. I need some help on Dead peer detection(DPD).<br>In my Software, when Dead peer is detected, an alarm is thrown. 'dpdtimeout = 120s and depdelay=10s' is set in IPSec.conf file.</p><p>Initially IPSec tunnel between my device and gateway is established properly and packets can<br>flow between them. Then After some time I disable the physical interface on my device, so after dpdtimeout = 120s, Dead peer<br>should be detected and alarm should be thrown. But I observe Dead peer detection is taking more than 180 seconds. Around after<br>190 seconds, Dead peer is detected and alarm is thrown. Can someone help, why is it taking  more then 120 seconds to detect Dead peer.</p><p>Thank you very much in advance.</p><p><strong>IPSec policy configuration on device:</strong></p><p>config setup<br>  plutostart=yes<br>  plutodebug=none<br>  nat_traversal=no<br>  uniqueids=no<br>  charonstart=yes<br>  charondebug="dmn 1, mgr 1, ike 0, chd 1, job 0, cfg 0, knl 0, net 0, enc -1, lib -1"</p><p>conn %default<br>  auto=start<br>  pfs=no<br>  forceencaps=no<br>  keyingtries=%forever<br>  mobike=no</p><div>conn conn1<br>  type=tunnel<br>  leftsubnet=<a href="http://10.10.10.12/24">10.10.10.12/24</a><br>  rightsubnet=<a href="http://10.10.10.7/24">10.10.10.7/24</a><br>  left=10.10.10.12<br>  right=10.10.10.7<br>  keyexchange=ikev2<br>  reauth=no<br>  ike=aes128-sha1-modp1024,3des-sha1-modp1024!<br>  ikelifetime=83376s<br>  esp=aes128-sha1,3des-sha1!<br>  authby=pubkey<br>  rightid=%any<br>  keylife=86400s<br>  dpdaction=restart<br>  dpddelay=10s<br>  dpdtimeout=120s<br>  leftcert=/etc/ipsec.d/certs/btsCert.pem<br>  rekeyfuzz=50%<br>  rekeymargin=180s</div><div><br>============================================================<br><strong>IPSec Configuration on gateway:</strong></div><div><strong></strong><br>config setup<br>  plutostart=yes<br>  plutodebug=none<br>  nat_traversal=no<br>  uniqueids=no<br>  charonstart=yes<br>  charondebug="dmn 1, mgr 1, ike 0, chd 1, job 0, cfg 0, knl 0, net 0, enc -1, l                                                                                                 ib -1"</div><p>conn %default<br>  auto=start<br>  pfs=no<br>  forceencaps=no<br>  keyingtries=%forever<br>  mobike=no</p><p>conn conn1<br>  type=tunnel<br>  leftsubnet=<a href="http://10.10.10.7/24">10.10.10.7/24</a><br>  rightsubnet=<a href="http://10.10.10.12/24">10.10.10.12/24</a><br>  left=10.10.10.7<br>  right=10.10.10.12<br>  keyexchange=ikev2<br>  reauth=no<br>  ike=aes128-sha1-modp1024,3des-sha1-modp1024!<br>  ikelifetime=83376s<br>  esp=aes128-sha1,3des-sha1!<br>  authby=pubkey<br>  rightid=%any<br>  keylife=300s<br>  dpdaction=restart<br>  dpddelay=10s<br>  dpdtimeout=120s<br>  leftcert=/etc/ipsec.d/certs/btsCert.pem<br>  rekeyfuzz=50%<br>  rekeymargin=180s</p><p>Regards,<br>Bhashkar</p></div>