<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Hi</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I have two sites connected to each other where both sites have dynamic addresses. With auto=route, dpdaction=clear/restart and gre-tunnel established between the left/right subnets sending OSPF HELLO frequently the tunnel have been very robust and instantly self healing if either end goes down.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">But a couple of days ago I got a new issue. The WAN IP on one of the sites changed, and the installed route traps didn't fire as the IPs in the ipsec policy now was wrong. This was with dpdaction=clear on both ends. </div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">I have a couple of questions:</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">- Would dpdaction=restart look up the dyndns address again if this happens while the tunnel is up?<br></div><div class="gmail_default" style="font-family:verdana,sans-serif">- What if the IP-address changes after significant downtime somewhere in the WAN-network, so long that dpd gives up (is that after 5 retries?)?<br>Is there some other way to update the installed route traps in the ipsec policy or set some refreshinterval for DNS-lookup without ipsec restart, which in this case would mean a separate script.</div><div class="gmail_default" style="font-family:verdana,sans-serif"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif">Regards,</div><div class="gmail_default" style="font-family:verdana,sans-serif">Hans-Kristian Bakke</div></div>