<p>pc1----gw1----nat---sw---gw2----pc2</p>
<p>gw1: WAN&nbsp; <a href="http://10.10.2.1"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.2.1" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.2.1</a><br>&nbsp;&nbsp;&nbsp;&nbsp; LAN&nbsp; <a href="http://192.168.1.1/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.1.1" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.1.1/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp; <br>nat:&nbsp; WAN&nbsp; <a href="http://192.168.100.254"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.100.254" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.100.254</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; LAN: <a href="http://10.10.2.2"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.2.2" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 
10.10.2.2</a></p>
<p>gw2: WAN&nbsp; <a href="http://132.132.100.190"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "132.132.100.190" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 132.132.100.190</a><br>&nbsp;&nbsp;&nbsp;&nbsp; LAN&nbsp; <a href="http://192.168.16.1/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.16.1" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.16.1/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp; <br>both gw1 &amp;gw2 are&nbsp; openswan2.4.0 +kernel <a href="http://2.6.13.2"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "2.6.13.2" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 2.6.13.2
</a><br>&nbsp;&nbsp;&nbsp;&nbsp; <br>gw1 ipsec.conf</p>
<p>version 2.0<br>config setup<br>&nbsp;&nbsp;&nbsp; interfaces=&quot;%defaultroute&quot;<br>&nbsp;&nbsp;&nbsp; forwardcontrol=no<br>&nbsp;&nbsp;&nbsp; <a href="mailto:myid=@XXXXXXX">myid=@XXXXXXX</a><br>&nbsp;&nbsp;&nbsp; pluto=yes<br>&nbsp;&nbsp;&nbsp; plutowait=no<br>&nbsp;&nbsp;&nbsp; nat_traversal=yes<br>
&nbsp;&nbsp;&nbsp; virtual_private=%v4:<a href="http://10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.1.0/24,%v4:!10.10.2.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.0.0.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16,%v4:!192.168.1.0/24,%v4:!10.10.2.0/24</a><br>&nbsp;&nbsp;&nbsp; uniqueids=yes
<br>#connection config for&nbsp; sh_bj<br>conn sh_bj<br>&nbsp;&nbsp;&nbsp;&nbsp; type=tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>&nbsp;&nbsp;&nbsp;&nbsp; left=%defaultroute<br>&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=ike<br>&nbsp;&nbsp;&nbsp;&nbsp; keylife=12h<br>&nbsp;&nbsp;&nbsp;&nbsp; auth=esp<br>&nbsp;&nbsp;&nbsp;&nbsp; esp=aes128-sha1<br>&nbsp;&nbsp;&nbsp;&nbsp; pfs=no<br>&nbsp;&nbsp;&nbsp;&nbsp; compress=no
<br>&nbsp;&nbsp;&nbsp;&nbsp; disablearrivalcheck=no<br>&nbsp;&nbsp;&nbsp;&nbsp; failureshunt=drop<br>&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz=80%<br>&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin=9m<br>&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=<a href="http://192.168.1.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.1.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.1.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=<a href="http://192.168.16.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.16.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 
192.168.16.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp; aggrmode=yes<br>&nbsp;&nbsp;&nbsp;&nbsp; leftid=xxxxxxxxxxx<br>&nbsp;&nbsp;&nbsp;&nbsp; right=<a href="http://132.132.100.190"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "132.132.100.190" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 132.132.100.190</a><br>&nbsp;&nbsp;&nbsp;&nbsp; rightid=xxxxxxxxx<br>&nbsp;&nbsp;&nbsp;&nbsp; ike=aes-sha1-modp1024<br>&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime=1h<br>&nbsp;&nbsp;&nbsp;&nbsp; authby=secret
<br>&nbsp;&nbsp;&nbsp;&nbsp; rekey=yes<br>&nbsp;&nbsp;&nbsp;&nbsp; keyingtries=%forever<br>#end of config</p>
<p><br>ipsec auto --status&nbsp; output:</p>
<p>$ ipsec auto --status<br>000 interface ipsec0/eth1 <a href="http://10.10.2.1"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.2.1" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.2.1</a><br>000 interface ipsec0/eth1 <a href="http://10.10.2.1"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.2.1" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.2.1</a><br>000 %myid = xxxxxxxxx<br>000 debug none<br>000&nbsp; <br>
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=64, keysizemin=192, keysizemax=192<br>000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=128, keysizemin=128, keysizemax=256<br>000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
<br>000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160<br>000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128<br>000&nbsp; <br>000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
<br>000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128<br>000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16<br>000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20<br>000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
<br>000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536<br>000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048<br>000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
<br>000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096<br>000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144<br>000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
<br>000&nbsp; <br>000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,1,36} trans={0,1,108} attrs={0,1,72} <br>000&nbsp; <br>000 &quot;sh_bj&quot;: <a href="http://192.168.1.0/24===10.10.2.1[xxxxxxxx]---10.10.2.2...132.132.100.190[xxxxxxxx]===192.168.16.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.1.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 
192.168.1.0/24===10.10.2.1[xxxxxxxx]---10.10.2.2...132.132.100.190[xxxxxxxx]===192.168.16.0/24</a>; prospective erouted; eroute owner: #0<br>000 &quot;sh_bj&quot;:&nbsp;&nbsp;&nbsp;&nbsp; srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
<br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 43200s; rekey_margin: 540s; rekey_fuzz: 80%; keyingtries: 0<br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; policy: PSK+ENCRYPT+TUNNEL+UP+AGGRESSIVE+failureDROP; prio: 24,24; interface: eth1; 
<br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; dpd: action:hold; delay:30; timeout:120; <br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; newest ISAKMP SA: #0; newest IPsec SA: #0; <br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; IKE algorithms wanted: 7_000-2-2, flags=-strict<br>
000 &quot;sh_bj&quot;:&nbsp;&nbsp; IKE algorithms found:&nbsp; 7_128-2_160-2, <br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; ESP algorithms wanted: 12_128-2, flags=-strict<br>000 &quot;sh_bj&quot;:&nbsp;&nbsp; ESP algorithms loaded: 12_128-2, flags=-strict<br>000&nbsp; 
<br>000 #10: &quot;sh_bj&quot;:500 STATE_AGGR_I1 (sent AI1, expecting AR1); EVENT_RETRANSMIT in 5s; nodpd<br>000&nbsp; </p>
<p><br>seg of auto.log <br>26 11:03:05 firewall pluto[21786]: &quot;sh_bj&quot; #1: initiating Aggressive Mode #1, connection &quot;sh_bj&quot;<br>Oct 26 11:03:05 firewall pluto[21786]: &quot;sh_bj&quot; #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_NAT-D) at the outermost level
<br>Oct 26 11:03:05 firewall pluto[21786]: &quot;sh_bj&quot; #1: sending notification INVALID_PAYLOAD_TYPE to <a href="http://132.132.100.190:500"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "132.132.100.190:500" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 132.132.100.190:500</a><br>Oct 26 11:03:15 firewall pluto[21786]: &quot;sh_bj&quot; #1: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_NAT-D) at the outermost level
<br>Oct 26 11:03:15 firewall pluto[21786]: &quot;sh_bj&quot; #1: sending notification INVALID_PAYLOAD_TYPE to <a href="http://132.132.100.190:500"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "132.132.100.190:500" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 132.132.100.190:500</a><br></p>