<div dir="ltr">This is perfect.<div><br></div><div>Having turned off serverside reauth and rekey to allow all the broken client implementations to work the amount of sessions are soaring after a short while, but dpd will fix this for sure.</div><div><br></div><div>Managed to find a config that works with most of the client implementations: ios 8,9, android, win 7-10 and os x 10.11</div><div><br></div><div>Good stuff.</div><div><br></div><div>RS</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Oct 26, 2015 at 3:58 PM, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Roger,<br>
<span class=""><br>
> To remedy this, would it be feasible to turn pn dpd, but with a very<br>
> long delay, such as 10 hours?<br>
<br>
</span>Sure, any IKEv2 exchange will do the trick of clearing out old sessions<br>
(e.g. rekeying too, however, the trigger is different, see below).<br>
<span class=""><br>
> The question really is if the dpd timeout counter starts from the last<br>
> packet received or will it be fixed to send dpd every 10 hours?<br>
<br>
</span>A DPD is sent only if there hasn't been any *inbound* traffic (IKE or<br>
ESP) for the last 10 hours.  A first check for this occurs 10h after the<br>
SA got established, if there was traffic, the next check will be<br>
scheduled for 10h-time_since_last_packet etc.<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">"Over vidden flyger renen;<br>efter den i vind og væde! -<br>Bedre det, end bryde stenen<br>op af fattig jord dernede!" </div>
</div>