Supondo que você esteja usando uma configuração semelhante a o exemplo ec2 do Openswan , tente definir
lifetime=1800
rekey=yes
mas apenas no final da inicialização. Isso definirá o vencimento do SA e renegociará a cada 30 minutos.
Tenho 2 regiões da AWS que conectei usando um túnel IPSec do OpenSWAN. Isso funciona muito bem em nosso ambiente de produção, mas em nosso ambiente de teste em que 1 das regiões tem longos períodos de inatividade, o túnel vai para baixo e eu tenho que usar SSH no servidor e executar sudo service network restart para executá-lo novamente.
Eu tenho visto vagamente aludido em outro lugar que, por design, o IPSec fará isso, mas não consigo ver nenhuma regra rígida e rápida em nenhum dos arquivos .conf que especificam qualquer tipo de tempo limite de túnel?
É apenas um recurso do IPSec? Alguém pode me indicar alguma documentação do OpenSWAN / IPSec que explique isso em profundidade, pois não consigo encontrar nada conclusivo?
Além disso, com base nisso, a melhor prática é fazer com que um cron job esteja constantemente pingando pelo túnel para mantê-lo sempre ativo?
Muito obrigado,
Supondo que você esteja usando uma configuração semelhante a o exemplo ec2 do Openswan , tente definir
lifetime=1800
rekey=yes
mas apenas no final da inicialização. Isso definirá o vencimento do SA e renegociará a cada 30 minutos.