<div dir="ltr">Hello,<div><br></div><div>We have two sites connected via OpenSwan 2.6.32-9, sharing 6 /24 subnets each (so 12 in total).</div><div><br></div><div>The problem we're having is completely randomly, be it in the middle of the day, or in the middle of the night (so I don't believe it's traffic related), certain (and sometimes all) routes will drop. They usually recover after a few minutes, but it's still long enough for our monitoring to detect downtime.</div><div><br></div><div>The configuration we have on each device is:</div><div><br></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><font face="monospace, monospace">conn site-a</font></div></div><div><div><font face="monospace, monospace">        keyingtries=0</font></div></div><div><div><font face="monospace, monospace">        keylife=1h</font></div></div><div><div><font face="monospace, monospace">        ikelifetime=8h</font></div></div><div><div><font face="monospace, monospace">        left=1.1.1.1</font></div></div><div><div><font face="monospace, monospace">        right=2.2.2.2</font></div></div><div><div><font face="monospace, monospace">        leftsubnets={x.x.x.x/24,x.x.x.x/24,x.x.x.x/24,x.x.x.x/24,x.x.x.x/24,x.x.x.x/24}</font></div></div><div><div><font face="monospace, monospace">        rightsubnets={x.x.x.x/24,x.x.x.x/24,x.x.x.x/24,x.x.x.x/24,x.x.x.x/24,x.x.x.x/24}</font></div></div><div><div><font face="monospace, monospace">        pfs=yes</font></div></div><div><div><font face="monospace, monospace">        auto=start</font></div></div><div><div><font face="monospace, monospace">        authby=secret</font></div></div><div><div><font face="monospace, monospace">        dpddelay=30</font></div></div><div><div><font face="monospace, monospace">        dpdtimeout=120</font></div></div><div><div><font face="monospace, monospace">        dpdaction=hold</font></div></div><div><div><font face="monospace, monospace">        phase2alg=aes256-sha1;modp1536</font></div></div><div><div><font face="monospace, monospace">        phase2=esp</font></div></div><div><div><font face="monospace, monospace">        ike=aes256-sha1;modp1536</font></div></div><div><br></div></blockquote>It's mirrored exactly the same on the other side.<div><br></div><div>I have tried changing the dead peer detection timeout to something high (5 minutes), and removing it completely (which I believe defaults it to 30 seconds), neither of which made any difference.</div><div><br></div><div>I can't see any very obvious errors in the logs, however the most recent drop out produced the following message around the same time:</div><div><font face="monospace, monospace"><br></font></div><blockquote style="margin:0px 0px 0px 40px;border:none;padding:0px"><div><div><font face="monospace, monospace">Feb 10 00:53:09 site-b-vpn pluto[30584]: "site-a/5x5" #39: max number of retransmissions (2) reached STATE_QUICK_I1</font></div></div><div><div><font face="monospace, monospace">Feb 10 00:53:09 site-b-vpn pluto[30584]: "site-a/5x5" #39: starting keying attempt 2 of an unlimited number</font></div></div><div><div><font face="monospace, monospace">Feb 10 00:53:09 site-b-vpn pluto[30584]: "site-a/5x5" #95: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK to replace #39 {using isakmp#52 msgid:119495de proposal=AES(12)_256-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1536}</font></div></div><div><br></div></blockquote>and also<div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><div><font face="monospace, monospace">Feb 10 00:52:25 site-a-vpn pluto[2414]: "site-b/6x6" #1: ignoring Delete SA payload: PROTO_IPSEC_ESP SA(0xde58eea3) not found (maybe expired)</font></div></div><div><div><font face="monospace, monospace">Feb 10 00:52:25 site-a-vpn pluto[2414]: "site-b/6x6" #1: received and ignored informational message</font></div></div><div><div><font face="monospace, monospace">Feb 10 00:52:25 site-a-vpn pluto[2414]: "site-b/6x6" #1: ignoring Delete SA payload: PROTO_IPSEC_ESP SA(0xa5298d7d) not found (maybe expired)</font></div></div><div><div><font face="monospace, monospace">Feb 10 00:52:25 site-a-vpn pluto[2414]: "site-b/6x6" #1: received and ignored informational message</font></div></div><div><br></div></blockquote>Before we move to another solution, does anyone have any suggestions on what the problem might be? Running a constant ping between the two hosts doesn't drop <i>any</i> packets (even when the IPSec connection itself drops out).<div><br></div><div>Thanks in advance.</div></div>