i try the connection with this config:<br><br>version 2<br>config setup<br># openswan tunnel configuration<br>conn side2side<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type=tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=secret<br>#RRT<br>left=<a href="http://66.232.119.242">66.232.119.242
</a><br>leftsubnet=<a href="http://66.232.119.0/32">66.232.119.0/32</a><br>leftnexthop=%defaultroute<br>#SAA<br>right=<a href="http://64.178.212.21">64.178.212.21</a><br>rightsubnet=<a href="http://176.168.0.20/32">176.168.0.20/32
</a><br>rightnexthop=%defaultroute<br>esp=3des-md5<br>ike=3des-md5-modp1024<br>aggrmode=no<br>keyexchange=ike<br>ikelifetime=24.0m<br>keylife=1.0h<br>pfs=no<br>auto=start<br><br>when i try <span style="font-weight: bold;">
ipsec auto --add side2side</span> i get this error<br><br># ipsec auto --add side2side<br>ipsec_auto: fatal error in &quot;side2side&quot;: (/etc/ipsec.conf, line 8) section header &quot;left=<a href="http://66.232.119.242">
66.232.119.242</a>&quot; has wrong number of fields (1)<br><br>i read something about the editor and some character and space i redo the file using vi with copy anything all was typing again ( new file )<br>but i get the same ,any idea ?
<br><br>thanks<br><br><div><span class="gmail_quote">On 6/12/07, <b class="gmail_sendername">Peter McGill</b> &lt;<a href="mailto:petermcgill@goco.net">petermcgill@goco.net</a>&gt; wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">




<div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>You had the esp line right, you just needed to add an 
ike line,</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>like so.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span></span></font>&nbsp;</div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>&nbsp;&nbsp;&nbsp; 
ike=3des-md5-modp1024</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>&nbsp;&nbsp;&nbsp; esp=3des-md5</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span></span></font>&nbsp;</div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>Your using Netkey (native), so the interfaces line will 
be ignored,</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>which is fine, or you can comment it out with # for 
clarity.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span></span></font>&nbsp;</div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>ikelifetime and keylife are fine. Order of entries in a 
conn section is irrelevent.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>I personnally usually group them into left side 
(left*=) and right side (right*=),</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>and shared settings, (anything not prefixed with left 
or right.), but whatever works</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>for you is fine, openswan doesn&#39;t care about the order 
inside a conn.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span></span></font>&nbsp;</div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>At this point I recommend you change the ike and esp 
lines then go ahead and test.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>If you have any problems with the connection, then send 
us another message.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>Include the connection logs for troubleshooting with 
that message.</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>egrep -e &#39;Jun 12 .*pluto&#39; 
/var/log/*</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>(Change Date appropriately.)</span></font></div>
<div dir="ltr" align="left"><font color="#0000ff" face="Arial" size="2"><span>Do not turn the debug options on in the conf, there is 
enouph info without them.</span></font></div>
<div><font color="#0000ff" face="Arial" size="2"></font>&nbsp;</div>
<div align="left"><font face="Arial" size="2">Peter McGill</font></div>
<div><font color="#0000ff" face="Arial" size="2"></font>&nbsp;</div><font face="Arial" size="2"></font><font face="Arial" size="2"></font><font face="Arial" size="2"></font><font face="Arial" size="2"></font><font face="Arial" size="2">
</font><font face="Arial" size="2"></font><br>
<blockquote style="border-left: 2px solid rgb(0, 0, 255); padding-left: 5px; margin-left: 5px; margin-right: 0px;">
  <div dir="ltr" align="left" lang="en-us">
  <hr>
  <font face="Tahoma" size="2"><b>From:</b> E0x [mailto:<a href="mailto:samudhio@gmail.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">samudhio@gmail.com</a>] 
  <br><b>Sent:</b> June 12, 2007 7:49 AM<br><b>To:</b> 
  <a href="mailto:petermcgill@goco.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">petermcgill@goco.net</a><br><b>Cc:</b> <a href="mailto:users@openswan.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
users@openswan.org</a><br><b>Subject:</b> Re: 
  [Openswan Users] openswan Side to Side config<br></font><br></div><div><span class="e" id="q_1131fe5d94511cd5_1">
  <div></div>i just want confirm the config i do following your 
  advice<br><br>ipsec --version output :<br><br>Linux Openswan 
  U2.1.5/K2.6.9-42.0.3.EL (native) (native)<br>See `ipsec --copyright&#39; for 
  copyright information.<br><br>ipsec.conf :<br><br>config 
  setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Debug-logging 
  controls:&nbsp; &quot;none&quot; for (almost) none, &quot;all&quot; for 
  lots.<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 
  klipsdebug=all<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 
  plutodebug=dns<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  interfaces=&quot;ipsec0=eth0&quot; <br>conn 
  tunnelipsec<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  type=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  authby=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  #RRT<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  left=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  myip<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  leftsubnet=&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://66.232.119.0/24" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">66.232.119.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  leftnexthop=&nbsp;&nbsp;&nbsp; %defaultroute 
  <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  #SAA<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  right=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  other_Company_ip<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  rightsubnet=&nbsp;&nbsp;&nbsp; 
  the_same_other_company_Ip<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  rightnexthop=&nbsp;&nbsp; 
  %defaultroute<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  esp=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  3des-md5-modp1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  aggrmode=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; no 
  <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=&nbsp;&nbsp;&nbsp; 
  ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  ikelifetime=&nbsp;&nbsp;&nbsp; 
  24.0m<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  keylife=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  1.0h<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  pfs=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  no<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  auto=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
  start<br><br>=============end==============================<br><br><br>i need 
  confirm the parte of rightsubnet , i asking if i need acces of they subnet or 
  they just need a vpn encrypt with that server <br><br>the i dont know where 
  put the option of keylife and the other, so i assume is in the right side ( 
  #SSA ) is this OK ? <br><br>Thanks<br><br>pd: sorry for my bad english <br>
  <div><span class="gmail_quote"><font color="#0000ff" face="Arial" size="2"></font><font color="#0000ff" face="Arial" size="2"></font><br><br>On 6/11/07, 
  <b class="gmail_sendername">Peter McGill</b> &lt;<a href="mailto:petermcgill@goco.net" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">petermcgill@goco.net</a>&gt; wrote: </span>
  <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt; 
    -----Original Message-----<br>&gt; Date: Sat, 9 Jun 2007 12:29:41 
    -0400<br>&gt; From: E0x &lt; <a href="mailto:samudhio@gmail.com" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">samudhio@gmail.com</a>&gt;<br>&gt; Subject: 
    [Openswan Users] openswan Side to Side config<br>&gt; To: <a href="mailto:users@openswan.org" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">users@openswan.org</a><br>&gt;<br>&gt; 
    Hello all i am new using openswan and&nbsp;&nbsp;i have this situation: 
    <br>&gt;<br>&gt; 
    openswan.i386&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;2.1.5-1fc2<br>&gt;<br>&gt; 
    OS:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    Centos 4.5<br>&gt;<br>&gt; 
    kernel:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    2.6.9-42.0.3.EL<br>&gt;<br>&gt; i have to do a side to side config with 
    another company but i<br>&gt; dont sure what<br>&gt; are they using i guess 
    is a something like a pix<br>&gt; cisco because the info that they give for 
    the encryptation <br>&gt; method that i can<br>&gt; choose<br>&gt;<br>&gt; i 
    choose this method:<br>&gt; Phase 1 IKE Properties:<br>&gt;<br>&gt; Key 
    Exchange: 3DES<br>&gt; Data Integrity : MD5<br>&gt; Renegotiate IKE SA: 1440 
    seconds<br>&gt; DH-Group : Group&nbsp;&nbsp;2 ( 1024 ) <br>&gt; Use 
    Agressive Mode: Disable<br>&gt;<br>&gt; Phase 2 IPsec 
    Properties:<br>&gt;<br>&gt; Data Encryption : 3DES<br>&gt; Data Integrity : 
    MD5<br>&gt; Perfect Forward Secrecy: Disabled<br>&gt; Renegotiate 
    :&nbsp;&nbsp;IPSEC SA`s Every : 3600 Seconds <br>&gt; Support Site to Site 
    Compression : Disabled<br>&gt;<br>&gt; other settings : pre-share secrets 
    must be at least 10 alpha/numeric<br>&gt; characters long. also, they can 
    only be exchanged in a secure manner<br>&gt; <br>&gt; 
    ====End====<br>&gt;<br>&gt;<br>&gt; now in my site i have only one interface 
    ( eth0 ) with 6<br>&gt; public ip ( alias<br>&gt; interface) ( eth0:1 . 
    eth0:2...etc )<br>&gt; and i config openswan like this :<br>&gt; config 
    setup <br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 
    Debug-logging controls:&nbsp;&nbsp;&quot;none&quot; for (almost) none,<br>&gt; &quot;all&quot; 
    for lots.<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 
    klipsdebug=all<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # 
    plutodebug=dns<br>&gt;<br>&gt; conn 
    tunnelipsec<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    type=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tunnel 
    <br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    authby=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    secret<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    #RRT<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    left=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    one_of_My_Public_IP<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    leftsubnet=&nbsp;&nbsp;&nbsp;&nbsp; network-public_ip/24 &lt;<a href="http://66.232.119.0/24" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">http://66.232.119.0/24 
    </a>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    leftnexthop=&nbsp;&nbsp;&nbsp;&nbsp;%defaultroute<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    #SAA<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    right=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;the_another_company_ip<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    rightsubnet=&nbsp;&nbsp;&nbsp;&nbsp;where_i_put_the_Same_IP_that_Above<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    rightnexthop=&nbsp;&nbsp; %defaultroute 
    <br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    esp=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3des-md5<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    keyexchange=&nbsp;&nbsp;&nbsp;&nbsp;ike<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    pfs=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;no<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    auto=&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
    start<br><br>I would say your on the right track with this.<br>You should 
    set these to match the timeouts given: 
    <br>ikelifetime=24.0m<br>keylife=1.0h<br>You could also add these to the 
    conn:<br>ike=3des-md5-modp1024<br>aggrmode=no<br>If you have rightsubnet = 
    right, then you can only communicate with the<br>Foreign router, and not the 
    network beyond it, you&#39;ll probably need to <br>Put their subnet info in 
    rightsubnet.<br>If you have six public ip&#39;s, then you should probably have a 
    leftsubnet of /29.<br>Ie) If <a href="http://66.232.119.1" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">66.232.119.1</a> 
    - 6, then <a href="http://66.232.119.0/29" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">66.232.119.0/29</a>,<br>or <a href="http://66.232.119.33" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">
66.232.119.33</a> - 38 then <a href="http://66.232.119.32/29" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)">66.232.119.32/29</a>, etc...<br>You may need 
    an intefaces line for ip alias used for ipsec, if using klips. <br>Netkey 
    should ingnore the setting so it should be safe to set either way.<br>ipsec 
    --version will tell you which your using.<br>config 
    setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;interfaces=&quot;ipsec0=eth0:1&quot;<br><br>You 
    secrets file should look like this: <br>&lt;left pub ip&gt; &lt;right pub 
    ip&gt; : PSK &quot;&lt;secret&gt;&quot;<br><br>Lastly don&#39;t forget to setup firewall 
    (iptables) rules to allow both the ipsec and tunneled traffic.<br><br>&gt; 
    #Disable Opportunistic Encryption <br>&gt; include 
    /etc/ipsec.d/examples/no_oe.conf<br>&gt;<br>&gt;<br>&gt; 
    =======end=======<br>&gt;<br>&gt; now they will give me a key when i am 
    ready for the test i<br>&gt; guest the key is<br>&gt; config in 
    /etc/ipsec.secrets <br>&gt;<br>&gt; so my question is : i know openswan is 
    for connect to private<br>&gt; network trough<br>&gt; internet but how i can 
    do that if in my case i dont have a<br>&gt; private network ?<br>&gt; what i 
    need put in the leftsubnet: option ? i need asking for <br>&gt; the subnet 
    of<br>&gt; another company too for set in some ipsec interface that 
    will<br>&gt; create with i<br>&gt; connect 
?<br><br></blockquote></div><br></span></div></blockquote></div>
</blockquote></div><br>