<div dir="ltr">Hello,<div><br></div><div>I am trying to implement dead peer detection. However when the far end SA kills the connection, the tunnel is never rebuilt. The tunnel will just stay down until a new rekey is initialized by the far end SA, in which case the connection will rebuild. BTW the far end is a Juniper SRX. <br><br>Here is the output of /var/log/pluto.log right after I kill the connection on the far end, nothing else:</div><div><br></div><div><font face="monospace">Oct 15 23:33:10.518021: "to-vsrx-01" #6: ESP traffic information: in=756B out=1KB<br>Oct 15 23:33:10.584609: "to-vsrx-01" #3: established IKE SA</font><br><br><br>Here is my config:<br><br><font face="monospace">conn to-vsrx-01<br>    auto=start<br>    keyexchange=ike<br>    authby=secret<br>    ike=aes256-sha2_256;dh20<br>    esp=aes256-sha2_256<br>    left=2.2.1.2<br>    leftid=2.2.1.2<br>    leftsubnet=<a href="http://172.21.0.0/29">172.21.0.0/29</a><br>    leftupdown=/opt/_updown_vti01<br>    right=3.3.0.2<br>    rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dpddelay=1s<br>    dpdtimeout=1s<br>    dpdaction=restart</font><br></div><div><br></div><div>Here is my leftupdown script I use<br><br><font face="monospace">#!/bin/bash<br><br>set -o nounset<br>set -o errexit<br><br>VTI_IF="vti01"<br><br>case "${PLUTO_VERB}" in<br>    up-client)<br>        ip tunnel add $VTI_IF local 2.2.0.2 remote 3.3.0.2 mode vti key 42<br>        ip link set $VTI_IF up<br>        ip addr add  172.21.0.3 dev $VTI_IF<br>        ip route add <a href="http://172.21.0.0/29">172.21.0.0/29</a> dev $VTI_IF<br>        ip route add <a href="http://10.0.26.0/24">10.0.26.0/24</a> dev $VTI_IF<br>        sysctl -w "net.ipv4.conf.$VTI_IF.disable_policy=1"<br>        sysctl -w "net.ipv4.conf.$VTI_IF.rp_filter=0"<br>        sysctl -w "net.ipv4.conf.$VTI_IF.forwarding=1"<br>        ;;<br>    down-client)<br>        ip tunnel del $VTI_IF<br>        ;;<br>esac</font><br><br></div><div>Am I misunderstanding what the dpd settings do? I need this tunnel to try to re-establish if it ever goes down. How can I accomplish this?</div><div><br></div><div>- Dave</div><div><br></div></div>