Добрый день уважаемые форумчане.
Столкнулся вот с такой бедой на них.
Когда заканчивается время жизни первой фазы(ike), при отсутвие запросов она отключается, но при этом если время жизни у фазы ipsec не закончилось - фаза ipsec остается висеть (не убивается автоматически). Из этого вытекает такая штука, что висящая фаза ipsec не иницирует новое содинение фазы ike, и новый туннель не строится пока ipsec не умрет по истечению времени. Тоже самое проиходит при принудительной очистке фазы ike - она чистится, а фазы ipsec остаются висеть(.
Как сделать на джунипере так же как на цысках - чтобы при удалении фазы ISAKMP, фазы ipsec которые за ней построены тоже удалялись.

Прошивка на Джунике вот такая.
Information for junos:

Comment:
JUNOS Software Release [10.4R8.5]

Может какую-то команду я не пишу, чтобы они чистились?

• Juniper SRX100 ike и ipsec фазы,midori, 02:08 , 19-Фев-12
  • Juniper SRX100 ike и ipsec фазы,kopic, 09:23 , 20-Фев-12
    • Juniper SRX100 ike и ipsec фазы,kopic, 09:25 , 20-Фев-12
      • Juniper SRX100 ike и ipsec фазы,kopic, 09:33 , 20-Фев-12

Вид vpn соединения?
Конфиги!

> Вид vpn соединения?
> Конфиги!

policy based

security {
    ike {
        proposal PROP1 {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 28800;
        }
        policy ike-policy1 {
            mode main;
            proposals PROP1;
            pre-shared-key ascii-text "*****"; ## SECRET-DATA
        }
        gateway ike-gate {
            ike-policy ike-policy1;
            address 10.1.15.2;
            external-interface fe-0/0/0;
        }
    }
    ipsec {
        proposal NEWPROP {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm 3des-cbc;
            lifetime-seconds 28800;
            lifetime-kilobytes 536870912;
        }
        policy NEWpolicy {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals NEWPROP;
        }
        vpn ike-vpn {
            ike {
                gateway ike-gate;
                ipsec-policy NEWpolicy;
            }
        }
    }

И меня вот заботит то, что нет привязки второй фазы в первой как в цыске.
Если вот будет два пира, то как джунипер выберет, какая вторая фаза к какому пиру. Видимо вся проблема в этом.

Вот конфиг с цыски второй фазы:
crypto map atms 32 match address VPNins32
crypto map atms 32 set pfs
crypto map atms 32 set peer 10.1.15.190
crypto map atms 32 set transform-set 3des2
crypto map atms 32 set security-association lifetime seconds 28800
crypto map atms 32 set security-association lifetime kilobytes 536870912

Вот этой строчки нету на Juniper у меня
crypto map atms 32 set peer 10.1.15.190

Догадки пока только такие.

        vpn ike-vpn {
            ike {
                gateway ike-gate;
                ipsec-policy NEWpolicy;

Хотя вроде как и есть.(

pix@VBRR-00TEST# set security ipsec vpn ike-vpn ike ?

  idle-time            Idle time to delete SA (60..999999 seconds)
  install-interval     Delay installation of rekeyed outbound SAs on initiator (0..10 seconds)

Может вот эти штуки как-то спасут?