Ca fait un peu échec de rekeying, mais difficile d'en être sûr.
Ce que tu vois dans ip xfrm n'est que le state ipsec du kernel, c'est à dire les clefs de session ESP, les endpoints (adresses IP) et les sélecteurs de traffic (permettant de savoir quel traffic doit être routé dans le tunnel). Le chiffrement du traffic se fait dans le kernel.
Par contre, l'authentification et l'échange de clefs, c'est l'userspace qui s'en charge (raccoon, dans ton cas). Une fois une phase 2 négociée, raccoon dispose de clefs et de configuration ESP qu'il peut passer au kernel.
On voir d'ailleurs dans ton screenshot wireshark que ton téléphone tente un rekeying (packet #28966) et que la gateway IPSec Orange répond (packet #28968), comme tu l'as bien identifié avec ton encadrement. Cette procédure est bien initiée par ton téléphone, probablement suite à l'expiration d'un timer de rekeying.
Ensuite, quelques packets plus tard, le téléphone renégocie une phase 1 en se ré-authentifiant, renégocie une phase 2 pour créer un nouveau tunnel, puis se ré-enregistre en SIP à travers ce tunnel fraichement établi.
Bien évidemment, ca ne devrait pas se passer comme ca : la renégo devrait se faire tout comme chez Bouygues sans nécessiter une interruption du traffic. D'ailleurs, aurais-tu une capture wireshark du même évènement sur le réseau Bouygues?
Plusieurs possibilités me viennent à l'esprit:
- soit la renégo échoue côté Orange et le tunnel existant est détruit,
- soit le remplacement du contexte ESP du kernel par raccoon échoue et il décide de repartir de zéro,
- soit raccoon crash/panique.
Il n'y a pas un moyen d'obtenir des logs en temps réel sous Android avec un câble USB ? Avec les logs de raccoon on aurait une bien meilleure idée de ce qu'il se passe (et tu peux les poster ici sans souci, il n'y aura pas d'identifiant ou de clefs réutilisables dedans).
En tout cas, on sait que la SA lifetime chez Orange est de 30 min, et qu'elle est grosso modo de 2h chez Bouygues (on rekey avant la deadline pour éviter l'interruption du traffic, c'est normal, et l'intervalle entre rekeying et expiration a un caractère aléatoire pour éviter que la gateway IPSec ne se prenne toutes les requêtes de rekeying en même temps).