<meta http-equiv="Content-Type" content="text/html; charset=utf-8"><div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">thanks Paul, Len</div><div class="gmail_default" style="font-family:tahoma,sans-serif"><br>I still have a question, there is such a config:<br><br>conn xxx<br>         authby = secret<br>         auto = ignore<br><br>         ikelifetime = 86400s<br>         salifetime = 3600s<br><br>         left = our public IP (ex. 8.8.8.8)<br>         leftsubnet = our public IP (ex. 8.8.8.8)<br>         right = client public IP (ex. 15.15.15.15)<br>         rightsubnet = client another public ip (ex. 15.15.15.30)<br><br>         ike = aes256-sha1; dh5<br>         phase2alg = aes256-sha1; dh5<br>         pfs = yes<br>         ikev2 = never<br><br><br>restarting the ipsec service causes five false setups (ipsec established) of the tunnel, after which the service stops working - no pid. </div><div class="gmail_default" style="font-family:tahoma,sans-serif">the client does not want to use private addressing, only public.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">czw., 14 paź 2021 o 19:25 Lennart Sorensen <<a href="mailto:lsorense@csclub.uwaterloo.ca">lsorense@csclub.uwaterloo.ca</a>> napisał(a):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, Oct 14, 2021 at 01:22:51PM -0400, Paul Wouters wrote:<br>
> On Thu, 14 Oct 2021, Kontakt wrote:<br>
> <br>
> > I want to set up the ikev1 tunnel, where the other party expects from me the parameter <br>
> > "crypto map set security-association lifetime kilobytes 4608000" - I do not see this parameter in the configuration. the changelog doesn't mention this<br>
> > either. Can I ask for help in its configuration? on the other side I believe is cisco / ace<br>
> <br>
> This functionality is not available but should make it in the next<br>
> release.<br>
> <br>
> Note however, that lifetimes are not negotiated. Either side configured<br>
> it, and whenever a side deems the maximum is reached, it is up to them<br>
> to initiate a rekey or reauthentication. So this option is at least not<br>
> preventing you from establishing an IPsec connection.<br>
> <br>
> Note also that 4.6MB is a very small amount of traffic if this lifetime<br>
> is associated with ESP. For IKE it might be okay, but a little strange<br>
> to specify.<br>
<br>
4608000 kilobytes is 4.6GB so not terribly small.<br>
<br>
-- <br>
Len Sorensen<br>
</blockquote></div>