Почему может не подниматься IPSec туннель после ребута?

Question

[Смотритель]

Приветствую, сообщество. Нужна помощь спецов.

По мануалу https://sysadmins.co.za/setup-a-site-to-site-ipsec... настроил связь 2 к 1 (два сервера к одному узловому - связь нужна только с узлом).

MAIN: X.X.X.X ; SRV1 : A.A.A.A ; SRV2 : B.B.B.B
A.A.A.A <=> X.X.X.X и B.B.B.B <=> X.X.X.X

Все выполнено аккуратно по руководству и после команды ipsec restart на всех машинах туннели поднимаются, связь есть, все отлично...

Проблемы появляются после ребута сервера, мало того, что туннель не поднимается, так для его поднятия даже не хватает дать команду ipsec restart только на сервере, который был перезагружен. Требуется дать такую же команду и на "ответной части" а это приводит к падению остальных туннелей и как следствие => по всем серверам запускать эту команду.

В syslog на эту тему как-то пусто, не понимаю, в чем причина... Буду благодарен за любую подсказку, куда копать и в чем искать причину...

Answer 1

[Смотритель]

Дополнение. В процессе курения мануалов встречал в настройках служебные значения типа %any и %opportunistic - это в некотором роде навело на вопрос. Если нужно будет добавлять еще сервера, то на основном узле после изменения настроек придется рестартить ipsec, а это разрыв всех открытых соединений... Могут ли помочь в данном случае эти ключевики? Чтобы не требовалось настраивать и добавлять блоки в ipsec.conf, а только добавить в ipsec.secrets строку и воспользоваться директивой ipsec reload ?

Добавлено
Покурил несколько разных мануалов, в том числе оригинальный ман по конфигу IPSec + небольшой скрипт с крон-запуском каждую минуту - проверяет статус соединения, и если статус не "connected" и не "connecting", рестартит IPSec...
Все работает как нужно, по крайней мере меня все устраивает...