added ikev1/dpd-restart scenario
[strongswan.git] / testing / tests / ikev1 / dpd-restart / description.txt
1 The peer <b>carol</b> and <b>moon</b> both have dynamic IP addresses, so that the remote end
2 is defined symbolically by <b>right=%&lt;hostname&gt;</b>. The ipsec starter resolves the
3 fully-qualified hostname into the current IP address via a DNS lookup (simulated by an
4 /etc/hosts entry). Since the peer IP addresses are expected to change over time, the option
5 <b>rightallowany=yes</b> will allow an IKE main mode rekeying to arrive from an arbitrary
6 IP address under the condition that the peer identity remains unchanged. When this happens
7 the old tunnel is replaced by an IPsec connection to the new origin.
8 <p>
9 In this scenario <b>moon</b> first initiates a tunnel to <b>carol</b>. After some time
10 the responder <b>carol</b> disconnects (simulated by iptables blocking IKE and ESP traffic).
11 <b>moon</b> detects via Dead Peer Detection (DPD) that the connection is down and tries to
12 reconnect. After a few seconds the firewall is opened again and the connection is 
13 reestablished.