Parece que você está trabalhando principalmente. Meu palpite é que você precisará isto adicionado à sua configuração do IPsec:
# Apple iOS doesn't send delete notify so we need dead peer
# detection to detect vanishing clients
dpddelay=10
dpdtimeout=90
dpdaction=clear
Basicamente, quando você se desconecta com um iPhone / iPad, ele não envia DELETE sinal, então o túnel apenas fica lá (até que você reinicie o serviço ipsec, por exemplo). Estas opções acima dizem que se eles Não ouvi do dispositivo em 90 segundos, em seguida, apenas para fechar e limpe. Você pode, obviamente, ajustar os números às suas necessidades.