
<div dir="ltr">The auto= setting indeed implies what the desired dpdaction would be, but...<br><div><br>What about a more elaborate scenario when you need to have a connection ready, but not start it right away (e.g. when you need to flip tunnels on the fly)? My first thought would be to configure the initiator using auto=add + dpdaction=restart. This is what I actually do during my tests that involve embedded equipment, where Libreswan is only part of the whole infrastructure.<br><br>If course, we could explicitly --add/--delete/--replace connections in this case...<br><br></div><div>Oleg<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Feb 16, 2017 at 7:41 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, 16 Feb 2017, Tuomo Soini wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

if auto=start you want dpd to restart tunnel<br>

if auto=route|ondemand you want dpd to hold tunnel<br>

if auto=add you want dpd to clear tunnel<br>

<br>

If you have other requirement than this I'd like to hear about that.<br>

With explanation.<br>

<br>

So removing whole dpdaction= would be correct thing to do<br>

</blockquote>

<br></span>

I had forgotten about that discussion. Tuomo is right. The configuration<br>

makes it obvious what action we would want to do - if we enabled DPD.<span class=""><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

but still, if we now set defaults for dpdtimeout and dpddelay we enable<br>

dpd for all vpn tunnels which might not be wanted effect. That would<br>

also happen if we add dpd/liveness=on|off switch.<br>

<br>

So any real fix requires breaking some configuration either by enabling<br>

liveness checks or disabling them.<br>

</blockquote>

<br></span>

We could introduce dpd/liveness=on|off, default to off but if we see<br>

delay+timeout we set it to on and log a warning. In a few years, we could<br>

remove this implicit "on switch". And when the on/off switch is used, we<br>

do populate with the default values for delay/timeout.<span class=""><br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Only choise which doesn't break anything is not to set default values<br>

and require dpdtimeout and dpddelay to be set to enable dpd/liveness<br>

checks to happen.<br>

</blockquote>

<br></span>

But it does not fix things either :)<span class="HOEnZb"><font color="#888888"><br>

<br>

Paul<br>

</font></span></blockquote></div><br></div>