
<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Mar 6, 2020, 04:45 Victor Sudakov <<a href="mailto:vas@sibptus.ru">vas@sibptus.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Noel,<br>

<br>

According to ipsec.conf(5) "auto=start loads a connection and brings it<br>

up immediately." What is the expected behavior of auto=start on<br>

connection *loss* (e.g. peer death is detected by DPD)? <br></blockquote></div></div><div dir="auto">My understanding is that dpdaction=restart should automatically restart the connection upon dead peer detection and restore it back again when the peer becomes available. </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

I want Strongswan to reestablish this connection immediately after the<br>

right side becomes alive again, not when there are packets for it.<br>

<br>

<br>

Noel Kuntze wrote:<br>

> Hello Victor,<br>

> <br>

> You configured it to start, not to try to reinitiate. Use auto=route<br>

> for the latter. It will try to reestablish when there's packets for it<br>

> then though, not immediately.<br>

<br>

> <br>

> Kind regards<br>

> <br>

> Noel<br>

> <br>

> Am 05.03.20 um 12:03 schrieb Victor Sudakov:<br>

> > Dear Colleagues,<br>

> > <br>

> > There was a power outage, the Mikrotik router at home was powered off<br>

> > for several hours. Then it was powered on again but there was no IPSec<br>

> > SA from work (Strongswan) to home (Mikrotik).<br>

> > <br>

> > I had to run "ipsec up home" at work to make things work again. Why did<br>

> > the SA not start automatically when the Mikrotik became available again?<br>

> > <br>

> > This is the relevant Strongswan config (yes the Strongswan at work is<br>

> > behind NAT).<br>

> > <br>

> > conn home<br>

> >     auto=start<br>

> >     authby=secret<br>

> >     dpddelay=10s<br>

> >     dpdaction=restart<br>

> >     esp=aes256-sha1-modp2048<br>

> >     ike=aes256-sha1-modp2048<br>

> >     ikelifetime=1h<br>

> >     lifetime=10m<br>

> >     keyexchange=ikev2<br>

> >     type=transport<br>

> >     left=10.10.10.5<br>

> >     right=y.y.y.y<br>

> >     leftprotoport=47<br>

> >     rightprotoport=47<br>

> > <br>

> > <br>

> > <br>

> > <br>

> <br>

<br>

<br>

<br>

<br>

-- <br>

Victor Sudakov,  VAS4-RIPE, VAS47-RIPN<br>

2:5005/49@fidonet <a href="http://vas.tomsk.ru/" rel="noreferrer noreferrer" target="_blank">http://vas.tomsk.ru/</a><br>

</blockquote></div></div></div>