
<div dir="auto">Hello Paul, pleased to meet you.<div dir="auto"><br></div><div dir="auto">I do have "auto=start" configured, but unfortunately, it behaves differently.</div><div dir="auto"><br></div><div dir="auto">The opposite end is also VTI on a Cisco router, and the VTI on my side does not comes up, no matter what happens.</div><div dir="auto"><br></div><div dir="auto">I tried to delete SAs on both sides (till there's no SA shown on my side, using "ip xfrm state"), playing with right/left subnets and then generating traffic accordingly (now the subnets are <a href="http://0.0.0.0/0">0.0.0.0/0</a>), issuing "ipsec whack --listen", since sometimes I bring the tunnel down by unplugging the cable and then Pluto does not resume listening automatically. All to no avail, unfortunately. As far as I remember, debugs on Cisco side does not indicate incoming re-establishment tries. At least, not full IKE negotiations (maybe there's something, but very limited at most). What I discovered, is that re-adding the connection and then using "--up" will bring it up, restarting the IPSEC service will also bring it up automatically and (surprisingly, to some extent) shutting Pluto down ("ipsec whack --shutdown").</div><div dir="auto"><br></div><div dir="auto">Maybe I'm doing something wrong, that's why I'm seeking help here. Thank you.</div></div><div class="gmail_extra"><br><div class="gmail_quote">בתאריך 19 בינו' 2018 4:11 AM,‏ "Paul Wouters" <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> כתב:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Thu, 18 Jan 2018, Alex K. wrote:<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

What are the possible ways to bring a Libreswan VTI up?<br>

<br>

Let me elaborate the situation a little bit - I have a Libreswan 3.21 compiled from sources on Debian Stretch as. Anyhow, I have a<br>

basic VTI setup according to the example on Libreswan website.<br>

</blockquote>

<br>

Using the vti options in the connection is the best way. Then,<br>

the VTI interfaces are created/deleted when the tunnels go up<br>

or down. You can do things manually too using the "ip tun"<br>

command, but I wouldn't recommend it.<br>

<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

On system startup, everything works just fine. The question is, how can I bring the tunnel up (after say, a restart to the opposite<br>

end), *without* manual intervention?<br>

<br>

Sure, I can always get to the box, get the terminal up and run "sudo ipsec auto --add vti1", following "--up". But say I'm not on<br>

site right now or wish to plan for better VPN recovery setup, what are my possibilities? Can some traffic bring the VTI up? Is there<br>

a keep alive/always up setting?<br>

</blockquote>

<br>

If you have auto=start, whenever the tunnel goes down, it will<br>

automatically try to restart. Even if the other end send you<br>

a delete request.<br>

<br>

When using auto=ondemand, if the tunnel goes down, it will only<br>

be brought back up when there is traffic to trigger the tunnel.<br>

<br>

Paul<br>

</blockquote></div></div>