<br><br>
<div><span class="gmail_quote">2007/10/11, Paul Wouters &lt;<a href="mailto:paul@xelerance.com">paul@xelerance.com</a>&gt;:</span></div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">On Thu, 11 Oct 2007, ??? wrote:<br><br>&gt; my client box openswan is 2.4.9 version which runs on arm linux 
2.4.19.<br>&gt;<br>&gt; the server log is as follows:<br>&gt; 2007-10-11 09:55:49&nbsp;&nbsp; system&nbsp;&nbsp; info&nbsp;&nbsp;00536&nbsp;&nbsp;IKE&lt;<a href="http://61.30.115.91">61.30.115.91</a>&gt; Phase 2 msg ID<br>&gt; &lt;1870a061&gt;: Responded to the peer&#39;s first message from user
<br>&gt; &lt;CN=IPSEC,OU=Support,O=Dawningtech,L=Taipei,ST=Taiwan,C=TW&gt;.<br>&gt; 2007-10-11 09:55:34&nbsp;&nbsp; system&nbsp;&nbsp; info&nbsp;&nbsp;00536&nbsp;&nbsp;IKE&lt;<a href="http://61.30.115.91">61.30.115.91</a>&gt; Phase 2 msg ID<br>&gt; &lt;1ec5c04a&gt;: Responded to the peer&#39;s first message from user
<br>&gt; &lt;CN=IPSEC,OU=Support,O=Dawningtech,L=Taipei,ST=Taiwan,C=TW&gt;.<br>&gt; 2007-10-11 09:54:58&nbsp;&nbsp; system&nbsp;&nbsp; info&nbsp;&nbsp;00536&nbsp;&nbsp;IKE&lt;<a href="http://61.30.115.91">61.30.115.91</a>&gt; Phase 2 msg ID<br>&gt; &lt;1ec5c04a&gt;: Responded to the peer&#39;s first message from user
<br>&gt; &lt;CN=IPSEC,OU=Support,O=Dawningtech,L=Taipei,ST=Taiwan,C=TW&gt;.<br>&gt; 2007-10-11 09:54:45&nbsp;&nbsp; system&nbsp;&nbsp; info&nbsp;&nbsp;00536&nbsp;&nbsp;IKE&lt;<a href="http://61.30.115.91">61.30.115.91</a>&gt; Phase 1:<br>&gt; Completed Main mode negotiations with a &lt;28800&gt;-second lifetime.
<br>&gt; 2007-10-11 09:54:45&nbsp;&nbsp; system&nbsp;&nbsp; info&nbsp;&nbsp;00536&nbsp;&nbsp;IKE&lt;<a href="http://61.30.115.91">61.30.115.91</a>&gt; Phase 1:<br>&gt; Completed for user<br>&gt; &lt;CN=IPSEC,OU=Support,O=Dawningtech,L=Taipei,ST=Taiwan,C=TW&gt;.
<br><br>I am not sure. what does the openswan end say?<br><br>&gt; conn dawn-net<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=rsasig<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp=3DES-SHA1<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=%defaultroute<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=<a href="http://192.168.1.0/24">
192.168.1.0/24</a><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=%defaultroute<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftcert=/etc/ipsec.d/mycert2.pem<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftrsasigkey=%cert<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=<a href="http://211.78.84.93">211.78.84.93</a><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid=&quot;@
<a href="http://SSG550.sti.com.tw">SSG550.sti.com.tw</a>&quot;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=<a href="http://10.2.111.0/24">10.2.111.0/24</a><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightnexthop=%defaultroute<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs=no
<br><br>It&#39;s very unusual to use certificates and specify a rightid= that&#39;s not a full DN<br>while using no leftid= (and thus a DN)</blockquote>
<div>&nbsp;</div>
<div>If I didn&#39;t specify rightid=&quot;@...&quot;, during phase I process,it will stop and show &quot;invalid ID...&quot;,the same ipsec.conf can be run on x86 linux machine.</div>
<div>&nbsp;</div>
<div>the attached file are up1.txt(while up my service log )/ping1.txt&nbsp;&nbsp; </div>
<div>&nbsp;</div>
<div>After up the net-to-net service, the route -n is as follows</div>
<div>&nbsp;$ route -n<br>Kernel IP routing table<br>Destination&nbsp;&nbsp;&nbsp;&nbsp; Gateway&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Genmask&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Flags Metric Ref&nbsp;&nbsp;&nbsp; Use Iface<br><a href="http://192.168.1.0">192.168.1.0</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 
<a href="http://255.255.255.0">255.255.255.0</a>&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 eth0<br><a href="http://192.168.1.0">192.168.1.0</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.255.0">255.255.255.0
</a>&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 ipsec0<br><a href="http://10.2.111.0">10.2.111.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://192.168.1.233">192.168.1.233</a>&nbsp;&nbsp; <a href="http://255.255.255.0">255.255.255.0</a>&nbsp;&nbsp; UG&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 ipsec0
<br><a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://192.168.1.233">192.168.1.233</a>&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; UG&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 eth0<br>&nbsp;</div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Show the output of: ipsec auto replace dawn-net ; ipsec auto --up dawn-net<br>--<br>Building and integrating Virtual Private Networks with Openswan:
<br><a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br></blockquote><br>