• Bei IPsec und High-Availability (nicht nur CARP) kommt es weniger auf die eigene Konfiguration an
• Solange man die virtuelle IP als Lokale ID nimmt, ist auf der eigenen Seite alles getan
• Damit das Failover korrekt funktioniert, ist man auf die Gegenseite angewiesen
• Dort muss Dead-Peer-Detection aktiv sein und einen Neustart des Tunnels auslösen
• Hier eine Linux Konfiguration als Beispiel: Strongswan-openswan-psk

Links

• Strongswan Cipher Suites
• IPsec.conf