<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 6, 2020, 04:45 Victor Sudakov <<a href="mailto:vas@sibptus.ru">vas@sibptus.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Noel,<br>
<br>
According to ipsec.conf(5) "auto=start loads a connection and brings it<br>
up immediately." What is the expected behavior of auto=start on<br>
connection *loss* (e.g. peer death is detected by DPD)? <br></blockquote></div></div><div dir="auto">My understanding is that dpdaction=restart should automatically restart the connection upon dead peer detection and restore it back again when the peer becomes available. </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>
I want Strongswan to reestablish this connection immediately after the<br>
right side becomes alive again, not when there are packets for it.<br>
<br>
<br>
Noel Kuntze wrote:<br>
> Hello Victor,<br>
> <br>
> You configured it to start, not to try to reinitiate. Use auto=route<br>
> for the latter. It will try to reestablish when there's packets for it<br>
> then though, not immediately.<br>
<br>
> <br>
> Kind regards<br>
> <br>
> Noel<br>
> <br>
> Am 05.03.20 um 12:03 schrieb Victor Sudakov:<br>
> > Dear Colleagues,<br>
> > <br>
> > There was a power outage, the Mikrotik router at home was powered off<br>
> > for several hours. Then it was powered on again but there was no IPSec<br>
> > SA from work (Strongswan) to home (Mikrotik).<br>
> > <br>
> > I had to run "ipsec up home" at work to make things work again. Why did<br>
> > the SA not start automatically when the Mikrotik became available again?<br>
> > <br>
> > This is the relevant Strongswan config (yes the Strongswan at work is<br>
> > behind NAT).<br>
> > <br>
> > conn home<br>
> >     auto=start<br>
> >     authby=secret<br>
> >     dpddelay=10s<br>
> >     dpdaction=restart<br>
> >     esp=aes256-sha1-modp2048<br>
> >     ike=aes256-sha1-modp2048<br>
> >     ikelifetime=1h<br>
> >     lifetime=10m<br>
> >     keyexchange=ikev2<br>
> >     type=transport<br>
> >     left=10.10.10.5<br>
> >     right=y.y.y.y<br>
> >     leftprotoport=47<br>
> >     rightprotoport=47<br>
> > <br>
> > <br>
> > <br>
> > <br>
> <br>
<br>
<br>
<br>
<br>
-- <br>
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN<br>
2:5005/49@fidonet <a href="http://vas.tomsk.ru/" rel="noreferrer noreferrer" target="_blank">http://vas.tomsk.ru/</a><br>
</blockquote></div></div></div>