Что это такое?

Это действия, выполняемые при старте IPsec.

Зачем это нужно?

Чтобы выполнить определённые действия с данным туннелем.

Как это настроить?

add

Добавить данный туннель в список известных системе. Туннель будет записан в конфигурацию, но не будет использоваться. Чтобы использовать его, нужно изменить данный параметр на route или start.

route

Добавить туннель в список и создать защищенный маршрут в сеть, расположенную на другой стороне туннеля. Фактическое установление туннеля произойдёт по требованию, при наличии данных на передачу.

start

Добавить туннель в список, создать маршрут и фактически установить туннель.

manual

Туннель устанавливается и разрывается вручную. Практического смысла не имеет.

ignore

Ничего не делать.

Параметр относится только к данному устройству; на удалённой стороне, в принципе, он может быть установлен иначе. Как правило, для симметричных конфигураций целесообразно использовать одинаковое значение на обеих сторонах туннеля. В частности, для туннеля, который должен создаваться при включении устройства и подерживаться постоянно, следует установить start на обеих сторонах, с тем, чтобы перезагрузка любой из сторон приводила к немедленному переустановлению туннеля.

Для несимметричных конфигураций "клиент-сервер" данный параметр, как правило, устанавливается по-разному и тем самым нарушает первоначально задуманную идентичность файлов конфигурации. На сервере, который пассивно ожидает соединения от клиентов, целесообразно установить значение add, а на клиентах, чтобы они могли инициировать установление туннеля — start или route.

При использовании общей части %default данный параметр необходимо указывать отдельно явным образом в конфигурации каждого туннеля.