<html>
  <head>
    <style type="text/css">
      <!--
        body { margin-top: 4px; margin-bottom: 1px; margin-right: 4px; margin-left: 4px; line-height: normal; font-variant: normal }
        p { margin-top: 0; margin-bottom: 0 }
      -->
    </style>
    
  </head>
  <body style="margin-top: 4px; margin-bottom: 1px; margin-right: 4px; margin-left: 4px">
    <p style="margin-bottom: 0; margin-top: 0">
      <font size="2" face="Dialog">Hi&#44;</font>    </p>
    <p style="margin-bottom: 0; margin-top: 0">
      <font size="2" face="Dialog">Thanks for the feedback&#44;unfortunately no success&#44; will keyingtries&#61;0 work&#63;&#63;</font>    </p>
<br>      
    <p style="margin-bottom: 0; margin-top: 0">
      <font size="2" face="Dialog">Kind Regards</font><br><br>&gt;&gt;&gt; &quot;Juan Pablo&quot; &lt;jp.espino@gmail.com&gt; 06/22/07 1:26 AM &gt;&gt;&gt;<br>Hi&#44;<br><br>Try with ike_lifetime &#61; 28800 sec and ipsec_lifetime&#61;3600 in both ends<br>and see if it works. Also try to capture traffic with<br>Ethereal/Wireshark or something similar when you lose the connection.<br><br>On 6/20/07&#44; Peter Njiiri &lt;pnjiiri@novell.ae&gt; wrote:<br>&gt;<br>&gt;<br>&gt; Hi<br>&gt;<br>&gt; ikelifetime is commented out thus I presume it might be taking the default:<br>&gt;<br>&gt;<br>&gt; conn &#37;default<br>&gt;<br>&gt; &#35; Default: &#37;forever &#40;try forever&#41;<br>&gt;<br>&gt; &#35;keyingtries&#61;3<br>&gt;<br>&gt; &#35; Sig keys &#40;default: &#37;dnsondemand&#41;<br>&gt;<br>&gt; leftrsasigkey&#61;&#37;cert<br>&gt;<br>&gt; rightrsasigkey&#61;&#37;cert<br>&gt;<br>&gt; &#35; Lifetimes&#44; defaults are 1h/8hrs<br>&gt;<br>&gt; &#35;ikelifetime&#61;20m<br>&gt;<br>&gt; &#35;keylife&#61;1h<br>&gt;<br>&gt; &#35;rekeymargin&#61;8m<br>&gt; ipsec auto --status log excerpt is below &#40;I&#39;ve omitted certificate<br>&gt; information&#41;:<br>&gt;<br>&gt;<br>&gt; 000 interface lo/lo ::1<br>&gt;<br>&gt; 000 interface lo/lo ::1<br>&gt;<br>&gt; 000 interface lo/lo 127.0.0.1<br>&gt;<br>&gt; 000 interface lo/lo 127.0.0.1<br>&gt;<br>&gt; 000 interface eth1/eth1 10.30.7.9<br>&gt;<br>&gt; 000 interface eth1/eth1 10.30.7.9<br>&gt;<br>&gt; 000 &#37;myid &#61; &#40;none&#41;<br>&gt;<br>&gt; 000 debug none<br>&gt;<br>&gt; 000<br>&gt;<br>&gt; 000 &quot;hamadtownzen01&quot;:&#160;&#160;&nbsp;ike_life: 3600s&#59; ipsec_life: 28800s&#59; rekey_margin:<br>&gt; 540s&#59; rekey_fuzz: 100&#37;&#59; keyingtries: 3<br>&gt;<br>&gt; 000 &quot;hamadtownzen01&quot;:&#160;&#160;&nbsp;policy: RSASIG&#43;ENCRYPT&#43;TUNNEL&#43;PFS&#43;UP&#59; prio: 32&#44;24&#59;<br>&gt; interface: eth1&#59;<br>&gt;<br>&gt; 000 &quot;hamadtownzen01&quot;:&#160;&#160;&nbsp;newest ISAKMP SA: &#35;1&#59; newest IPsec SA: &#35;2&#59;<br>&gt;<br>&gt; 000<br>&gt;<br>&gt; 000 &#35;2: &quot;hamadtownzen01&quot; STATE_QUICK_I2 &#40;sent QI2&#44; IPsec SA established&#41;&#59;<br>&gt; EVENT_SA_REPLACE in 26826s&#59; newest IPSEC&#59; eroute owner<br>&gt;<br>&gt; 000 &#35;2: &quot;hamadtownzen01&quot; esp.f3f82e06@10.30.2.10 esp.de5fa75d@10.30.7.9<br>&gt; tun.0@10.30.2.10 tun.0@10.30.7.9<br>&gt;<br>&gt; 000 &#35;1: &quot;hamadtownzen01&quot; STATE_MAIN_I4 &#40;ISAKMP SA established&#41;&#59;<br>&gt; EVENT_SA_REPLACE in 1995s&#59; newest ISAKMP<br>&gt;<br>&gt; 000<br>&gt;<br>&gt;<br>&gt; Kind Regards<br>&gt;<br>&gt; Peter<br>&gt;<br>&gt;<br>&gt; &gt;&gt;&gt; &quot;Juan Pablo&quot; &lt;jp.espino@gmail.com&gt; 06/19/07 11:07 PM &gt;&gt;&gt;<br>&gt;<br>&gt; Hi&#44;<br>&gt;<br>&gt; Every 6 or 7 hours mmmm it sounds to me a Main Mode re-negotiation<br>&gt; issue. What is the value for ikelifetime&#63;&#44; let us see some logs also.<br>&gt;<br>&gt; On 6/19/07&#44; Peter Njiiri &lt;pnjiiri@novell.ae&gt; wrote:<br>&gt; &gt; Hi Kevin<br>&gt; &gt; The two servers are connected via a WAN. The Internet connection is<br>&gt; constantly on and I noticied that the tunnel disconnects after some hours&#44;<br>&gt; 6hrs or 7 hrs. Will check if the rekey&#61;yes works otherwise&#44; are there other<br>&gt; recommendations you have for this issue&#63;<br>&gt; &gt;<br>&gt; &gt; Thanks for the feedback&#44;Peter&#33;<br>&gt; &gt;<br>&gt; &gt; &gt;&gt;&gt; Kevin &lt;kevin@sepit.com.au&gt;&#160;&nbsp;&gt;&gt;&gt;<br>&gt; &gt; What type of internet connections are each endpoint using and how stable<br>&gt; &gt; are they&#63;&#160;&nbsp;I ask this because I had problems with tunnels apparently not<br>&gt; &gt; staying up and it turned out that the internet connection dropping out<br>&gt; &gt; even for a very short time was causing the problem.<br>&gt; &gt;<br>&gt; &gt; Regards<br>&gt; &gt; Kevin<br>&gt; &gt;<br>&gt; &gt; Paul Wouters wrote:<br>&gt; &gt;<br>&gt; &gt; &gt;On Mon&#44; 18 Jun 2007&#44; Peter Njiiri wrote:<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;&gt;The connection is Gatewat-to_gateway connection using FreeSwan<br>&gt; &#40;ipsec.conf&#41; will adding the rekey&#61;yes line work for FreeSwan&#63; Thanks for<br>&gt; the feedback<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;See below on the remark when one of the endpoints is on dynamic ip<br>&gt; &#40;roadwarrior&#41;.<br>&gt; &gt; &gt;AFAIK&#44; freeswan also had rekey&#61;yes as the default&#44; so i dont think it is<br>&gt; going to help you.<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;freeswan is unsupported and has not seen all required security patches.<br>&gt; You should migrate<br>&gt; &gt; &gt;to openswan.<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;Paul<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;&gt;Regards&#44;Peter<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;&gt;&gt;&gt;Paul Wouters &lt;paul@xelerance.com&gt;&#160;&nbsp;&gt;&gt;&gt;<br>&gt; &gt; &gt;&gt;&gt;&gt;&gt;<br>&gt; &gt; &gt;&gt;&gt;&gt;&gt;<br>&gt; &gt; &gt;&gt;On Mon&#44; 18 Jun 2007&#44; Peter Njiiri wrote:<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;&gt;I just need to know how a persistent connection can be established when<br>&gt; VPN is up. I always have to restart the VPN after some hours as it seems<br>&gt; that the SA connection/handshake is dropped&#63;Is there a line that can be<br>&gt; added into the ipsec.conf file&#63;&#63;&#63; I need the VPN to be running consistently<br>&gt; 24-7&#63;<br>&gt; &gt; &gt;&gt;&gt;<br>&gt; &gt; &gt;&gt;&gt;<br>&gt; &gt; &gt;&gt;If you use rekey&#61;yes &#40;the default&#33;&#41; then it should work already. If this<br>&gt; is a roadwarrior connection&#44;<br>&gt; &gt; &gt;&gt;then the roadwarrior has to initiate the rekey and the server should use<br>&gt; rekey&#61;no.<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;Paul<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;&gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt; &gt;<br>&gt; &gt;<br>&gt; &gt;<br>&gt; &gt; --<br>&gt; &gt; This message has been scanned for viruses and<br>&gt; &gt; dangerous content by MailScanner&#44; and is<br>&gt; &gt; believed to be clean.<br>&gt; &gt;<br>&gt; &gt; _______________________________________________<br>&gt; &gt; Users@openswan.org<br>&gt; &gt; <a href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a><br>&gt; &gt; Building and Integrating Virtual Private Networks with Openswan:<br>&gt; &gt;<br>&gt; <a href="http://www.amazon.com/gp/product/1904811256/104">http://www.amazon.com/gp/product/1904811256/104</a>-3099591-2946327&#63;n&#61;283155<br>&gt; &gt;<br>&gt; &gt; _______________________________________________<br>&gt; &gt; Users@openswan.org<br>&gt; &gt; <a href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a><br>&gt; &gt; Building and Integrating Virtual Private Networks with Openswan:<br>&gt; &gt;<br>&gt; <a href="http://www.amazon.com/gp/product/1904811256/104">http://www.amazon.com/gp/product/1904811256/104</a>-3099591-2946327&#63;n&#61;283155<br>&gt; &gt;<br>&gt;<br>&gt;<br>&gt; --<br>&gt; Juan Pablo<br>&gt;<br>&gt;<br>&gt;<br>
    </p>
  </body>
</html>