<div dir="ltr">hello Andreas,<div><br></div><div style>   Is dpdaction=route suppported ? I couldn't find it in the docs and strongswan would not start if I provide it.</div><div style><br></div><div style>Regards,</div>
<div style>Arun G Nair</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sat, Apr 6, 2013 at 4:17 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">It seems as if you didn't have a CHILD_SA in the first place.<br>
Didn't the IKE negotiation complete successfully or did the<br>
peer delete the CHILD_SA because of inactivity (e.g. Windows clients<br>
do this after about 6 minutes). If the latter is the case then<br>
I'd try dpdaction=route.<br>
<br>
Regards<br>
<br>
Andreas<br>
<div><div class="h5"><br>
On 04/05/2013 01:19 PM, Arun G Nair wrote:<br>
> I have dpd enabled.<br>
><br>
>       dpdaction=restart<br>
>       dpddelay=10s<br>
>       dpdtimeout=60s<br>
><br>
> The issue is that when i connect, after a certain period without any<br>
> traffic, from servers hosted behind peer to a web service behind<br>
> strongswan, it doesn't connect. I have keep trying for some time before<br>
> it connects to the web service. Peer is a fortigate box and this is a<br>
> site to site vpn tunnel. I've attached the log. After looking in to the<br>
> log, can someone tell me if it's the peer that's taking time to bring up<br>
> the tunnel or is it strongswan ? I see below in the log. Does it mean<br>
> the peer is not responding ? I don't have control over the peer vpn<br>
> (fortigate).<br>
><br>
><br>
> Apr  4 16:13:51 vpn01pp charon: 12[IKE] sending DPD request<br>
> Apr  4 16:14:01 vpn01pp charon: 13[IKE] sending DPD request<br>
> Apr  4 16:14:11 vpn01pp charon: 01[IKE] sending DPD request<br>
> Apr  4 16:14:21 vpn01pp charon: 12[IKE] sending DPD request<br>
> Apr  4 16:14:31 vpn01pp charon: 14[IKE] sending DPD request<br>
> Apr  4 16:14:41 vpn01pp charon: 15[IKE] sending DPD request<br>
> Apr  4 16:14:51 vpn01pp charon: 02[JOB] DPD check timed out, enforcing<br>
> DPD action<br>
> Apr  4 16:14:51 vpn01pp charon: 02[IKE] unable to reauthenticate IKE_SA,<br>
> no CHILD_SA to recreate<br>
><br>
> Thanks in advance.<br>
><br>
> Regards,<br>
> Arun G Nair<br>
><br>
><br>
> On Thu, Apr 4, 2013 at 11:12 PM, Justin Cinkelj <<a href="mailto:justin.cinkelj@xlab.si">justin.cinkelj@xlab.si</a><br>
</div></div><div class="im">> <mailto:<a href="mailto:justin.cinkelj@xlab.si">justin.cinkelj@xlab.si</a>>> wrote:<br>
><br>
>     dpdaction, dpddelay and dpdtimeout are three relevant parameters.<br>
>     With DPD enabled, packet is sent every dpddelay seconds (when there<br>
>     is no normal traffic).<br>
>     With this three settings, client did auto reconnect if server exited<br>
>     normaly (or if server was killed with SIGHUP).<br>
><br>
>     But if server process was 'kill -9'-ed, things didn't work as<br>
>     expected (connection might come back, but only temporally).<br>
>     Server was strongswan 4.6.4, client 4.5.2 and IKEv2 was used.<br>
><br>
>     I'm interested how this will work for you, and what will be your<br>
>     final configuration.<br>
><br>
>     Bye Justin<br>
><br>
><br>
>     On 04/04/2013 04:13 PM, Arun G Nair wrote:<br>
>>     Hi,<br>
>><br>
>>        What can I do on strongswan to keep a tunnel alive even if<br>
>>     there's no traffic flowing ? I've dpdaction set to restart. What<br>
>>     else can be done ?<br>
>><br>
>>     Regards,<br>
<br>
</div>======================================================================<br>
Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>
strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org" target="_blank">www.strongswan.org</a><br>
Institute for Internet Technologies and Applications<br>
University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>
===========================================================[ITA-HSR]==<br>
<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br>::: Keep Smiling :::
</div>