<div dir="ltr"><div><div><div>Status shows the following:<br>ike_life: 86400s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;<br><br></div>However, the tunnel fails well before any of the limits are reached - sometimes within 5 minutes of being restarted. I still keep seeing the timeouts:<br>STATE_PARENT_R1 (received v2I1, sent v2R1); EVENT_v2_RESPONDER_TIMEOUT in 195s; idle; import:respond to stranger<br><br></div>I'm wondering if something on the far side is blocking the replies.<br><br></div>Thanks for the help!<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 21, 2016 at 1:10 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, 21 Oct 2016, Banana Man wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I didn't want to confuse things, but I'm actually using a NAT with this tunnel (as well as<br>
several others on this machine). So left= is a different value (my machine's real IP) than<br>
leftsubnet= and leftsourceip=, which are the NAT address. So I think I need to set both of<br>
those. I have always used 255.255.255.255 in the subnet settings to restrict to the single<br>
IP, is this not advisable? I only want access to the machine I'm starting the tunnel on,<br>
not the whole subnet.<br>
</blockquote>
<br></span>
Ok, if leftsubnet is an IP different from left that is fine. That did<br>
not show in your posted config. If you are behind NAT, ensure you have<br>
the shorter ikelifetime= so you are always the end rekeying first.<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div>