<html><head></head><body>Hi all,<br><br>Regarding traps:<br>All supported OS can do that. It's not special.<br>Auto=start does not install these traps.<br>If the tunnel is terminated you will not have any policies. Not even traps. The point of traps is to cause reestablishment of the SAs if there are none but there is traffic to be transported.<br><br>Kind regards<br>Noel<br><br><br><div class="gmail_quote">Am 17. August 2022 14:36:14 UTC schrieb "Dr. Rolf Jansen" <strongswan-rj@cyclaero.com>:<blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<pre dir="auto" class="k9mail"><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;">Am 17.08.2022 um 10:41 schrieb noel.kuntze+strongswan-users-ml@thermi.consulting:<br><br>Hi all,<br><br>Dpd and nat keepalive only work on IKE layer, not on the CHILD_SAs that you want.<br></blockquote><br>I didn’t tell in my first post, that I checked the SA dumps on both sides of a nonworking tunnel using „setkey -D“, and I could not identify any obvious difference to a working one. I don’t know, whether I want something working on the CHILD_SAs, since those do think everything is in good shape.<br><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;">Use auto=route, then bring up the tunnel manually once. Auto=route makes strongswan install trap policies for the traffic. That should improve reliability.<br></blockquote><br>In the manual: „route loads a connection and installs kernel traps“<br><br>This is FreeBSD, not Linux, and I am hesitant to simply assume that some tricks in the Linux kernel would work with FreeBSD as well. Anyway, I can try it.<br><br>I guess I need to tell „auto = route“ instead of „= add“ at the IKEv2 central server and leave „auto = start“ as is at the satellites.<br><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 1ex 0.8ex; border-left: 1px solid #729fcf; padding-left: 1ex;">The newest release brought a new value for start_acrion or use with swanctl/vici that enables installing of trap policies and starting of the tunnel when the daemon starts.<br></blockquote><br>At present, this is what „auto = start“ does, and starting-up was never an issue. The issue is maintaining the connection on a 24/7 basis and recovering it, once there was an internet failure outside of my control.<br><br>Best regards<br><br>Rolf</pre></blockquote></div><div style='white-space: pre-wrap'>Sent from mobile</div></body></html>