Igazából bármelyik lehet - kezdeményező is, fogadó is.
Alapban, ha nincs forgalom, akkor egy idő után az IPSec bontja a kapcsolatot. Ekkor ha bármelyik telephelyen forgalom akar generálódni a másik telephely felé, ismét fel kell építeni a VPN kapcsolatot. Ekkor a kezdeményező az a telephely lesz, ahol a forgalom generálódik - és ez az előbbiekből adódóan bármely telephely lehet -, a fogadó pedig a másik telephelyen lesz.
A gondom ott kezdődik, hogy jelenleg bármelyik oldalról kezdeményezve a VPN felépítést, a NAT mögötti partnerek esetén pofára esés van.
Viszont ez nem változtat azon, hogy a működő kapcsolatok is P1 lifetime környékén erősen szakadoznak. Ez önmagában is probléma.
Strongswan kapcsán: a racoon-nal nekem is sokkal több sikerélményem van, de sajnos az új pfSense alá ezt gyűrték be.