<p>I tested openswan 2.4.2dr5 in my home network last night.</p>
<p>pc-a======gw-a=====sw=======gw-b=====pc-b</p>
<p>both gw-a &amp; gw-b are openswan 2.4.2dr5 + klips+kernel2.6.13.2(lfs)<br>both gw-a &amp; gw-b use static ip address .</p>
<p><br>**************************************<br>gw-a is initiator , gw-b is responder<br>**************************************</p>
<p>I did these test:<br>a. both gw-a &amp; gw-b use main mode and with nat_traversal=no ,it's ok.<br>b. both gw-a &amp; gw-b use main mode and with nat_traversal=yes ,it's ok.<br>c. both gw-a &amp; gw-b use aggressive mode and with nat_traversal=no, it's ok.
<br>d. both gw-a &amp; gw-b use aggressive mode and with nat_traversal=yes, failed.</p>
<p><br>the config is as below, config for gw-b is almost the same except the lefXXX and rightXXX.&nbsp; </p>
<p>ipsec.conf for gw-a</p>
<p>config setup<br>&nbsp;&nbsp;&nbsp; interfaces=&quot;%defaultroute&quot;<br>&nbsp;&nbsp;&nbsp; forwardcontrol=no<br>&nbsp;&nbsp;&nbsp; pluto=yes<br>&nbsp;&nbsp;&nbsp; plutowait=no<br>&nbsp;&nbsp;&nbsp; nat_traversal=yes<br>&nbsp;&nbsp;&nbsp; uniqueids=yes <br>conn test<br>&nbsp;&nbsp;&nbsp;&nbsp; type=tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>
&nbsp;&nbsp;&nbsp;&nbsp; left=%defaultroute<br>&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=ike<br>&nbsp;&nbsp;&nbsp;&nbsp; keylife=12h<br>&nbsp;&nbsp;&nbsp;&nbsp; auth=esp<br>&nbsp;&nbsp;&nbsp;&nbsp; esp=aes128-sha1<br>&nbsp;&nbsp;&nbsp;&nbsp; pfs=no<br>&nbsp;&nbsp;&nbsp;&nbsp; compress=no<br>&nbsp;&nbsp;&nbsp;&nbsp; disablearrivalcheck=no<br>&nbsp;&nbsp;&nbsp;&nbsp; failureshunt=drop<br>&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz=80%
<br>&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin=9m<br>&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=<a href="http://10.10.12.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.12.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.12.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=<a href="http://192.168.1.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.1.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.1.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp; aggrmode=yes<br>&nbsp;&nbsp;&nbsp;&nbsp; leftid=xxxxxxxxxxxxx<br>&nbsp;&nbsp;&nbsp;&nbsp; right=
<a href="http://192.168.121.114"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.121.114" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.121.114</a><br>&nbsp;&nbsp;&nbsp;&nbsp; rightid=xxxxxxxxxxxxxxxx<br>&nbsp;&nbsp;&nbsp;&nbsp; ike=aes-sha1-modp1024<br>&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime=1h<br>&nbsp;&nbsp;&nbsp;&nbsp; authby=secret<br>&nbsp;&nbsp;&nbsp;&nbsp; rekey=yes<br>&nbsp;&nbsp;&nbsp;&nbsp; keyingtries=%forever<br>#end of config
</p>
<p>&nbsp;</p>
<p>segment of auth.log</p>
<p><br>Oct 28 23:13:34 firewall pluto[4618]: added connection description &quot;test&quot;<br>Oct 28 23:13:53 firewall pluto[4618]: &quot;test&quot; #4: initiating Aggressive Mode #4, connection &quot;test&quot;<br>Oct 28 23:13:53 firewall pluto[4618]: &quot;test&quot; #4: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_NAT-D) at the outermost level
<br>Oct 28 23:13:53 firewall pluto[4618]: &quot;test&quot; #4: sending notification INVALID_PAYLOAD_TYPE to <a href="http://192.168.121.114:500"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.121.114:500" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.121.114:500</a><br>Oct 28 23:14:03 firewall pluto[4618]: &quot;test&quot; #4: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_NAT-D) at the outermost level
<br>Oct 28 23:14:03 firewall pluto[4618]: &quot;test&quot; #4: sending notification INVALID_PAYLOAD_TYPE to <a href="http://192.168.121.114:500"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.121.114:500" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.121.114:500</a><br>Oct 28 23:14:03 firewall pluto[4618]: &quot;test&quot; #4: message ignored because it contains an unknown or unexpected payload type (ISAKMP_NEXT_NAT-D) at the outermost level
<br>Oct 28 23:14:03 firewall pluto[4618]: &quot;test&quot; #4: sending notification INVALID_PAYLOAD_TYPE to <a href="http://192.168.121.114:500"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.121.114:500" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.121.114:500</a></p>
<p>&nbsp;</p>
<p><br>I then did another tests:</p>
<p>e.gw-a aggressive mode + nat_traversal=no <br>&nbsp; gw-b aggressive mode +nat_traversa=yes ,&nbsp;&nbsp;&nbsp;&nbsp; failed.<br>&nbsp;&nbsp; <br>&nbsp; the logs of auth.log is like test d.</p>
<p>f.gw-a aggressive mode + nat _traversal=yes<br>&nbsp; gw-b aggressive mode +nat_traversal=no , it's ok.<br>&nbsp; <br>&nbsp; <br>&nbsp; <br>It seems that openswan-2.4.2dr5 don't like work as a responder if <br>use aggressive mode + nat_travresal=yes.
</p>
<p>&nbsp; <br>Of cause it faild&nbsp; when I add a nat box between gw-a and gw-b with <br>aggressive mode + nat_traversal=yes. the logs like test d.</p>