Hi,<br><br>Thanks for the reply, but it still doesn&#39;t work for me. I&#39;m not totally sure what the difference is between the config you&#39;ve given me, and the one I&#39;m using- as far as I can tell I _am_ using PSK- I got the codes from ipsec showhost key.<br>
<br>Thanks,<br><br>David<br><br><div class="gmail_quote">2009/1/2 Paul Wouters <span dir="ltr">&lt;<a href="mailto:paul@xelerance.com">paul@xelerance.com</a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="Ih2E3d">On Thu, 1 Jan 2009, David J Craigon wrote:<br>
<br>
&gt; Anyway, I cannot get NAT traversal to work. My setup is as follows- I want<br>
&gt; to get a VPN running between two hosts both running Openswan. One is on the<br>
&gt; internet and has a public IP address, and is running Fedora 9. The other is<br>
&gt; my laptop sat at home behind a NAT running Fedora 10.<br>
<br>
</div>I have a similar setup on my laptop, where I tunnel my own /29 onto my laptop.<br>
<div class="Ih2E3d"><br>
&gt; conn host-to-host<br>
&gt; &nbsp; &nbsp; left=192.168.2.34<br>
&gt; &nbsp; &nbsp; leftid=81.76.68.138<br>
&gt; &nbsp; &nbsp; leftnexthop=192.168.2.1<br>
&gt; &nbsp; &nbsp; leftsubnet=<a href="http://192.168.2.0/24" target="_blank">192.168.2.0/24</a><br>
&gt; &nbsp;leftrsasigkey=blah blah blah<br>
&gt; &nbsp; &nbsp; right=94.102.146.99 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; # Remote vitals<br>
&gt; &nbsp; &nbsp; rightid=94.102.146.99<br>
&gt; &nbsp; &nbsp; rightsubnet=<a href="http://94.102.146.96/29" target="_blank">94.102.146.96/29</a><br>
&gt; &nbsp; &nbsp; rightrsasigkey=blah blah blah<br>
&gt; &nbsp; &nbsp; rightnexthop=94.102.146.97 &nbsp; &nbsp; # correct in many situations<br>
&gt; &nbsp; &nbsp; auto=add &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; # authorizes but doesn&#39;t start this<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;# connection at startup<br>
<br>
</div>With both ends being openswan, ditch PSK and use raw RSA. eg:<br>
<br>
 &nbsp; &nbsp; &nbsp; &nbsp;authby=rsasig<br>
 &nbsp; &nbsp; &nbsp; &nbsp;leftrsasigkey=XXXX<br>
 &nbsp; &nbsp; &nbsp; &nbsp;rightrsasigkey=YYY<br>
 &nbsp; &nbsp; &nbsp; &nbsp;leftid=@laptop<br>
 &nbsp; &nbsp; &nbsp; &nbsp;rightid=@server<br>
 &nbsp; &nbsp; &nbsp; &nbsp;left=%defaultroute<br>
<br>
get the rsasigkey lines using: ipsec showhostkey --left (--right) on the<br>
two machines. This will avoid PSK authentication by IP while having other<br>
IP&#39;s due to NAT.<br>
<div class="Ih2E3d"><br>
&gt;<br>
&gt; When I do on the box behind the NAT I get:<br>
&gt;<br>
&gt; [root@localhost log]# ipsec auto --up host-to-host<br>
&gt; 104 &quot;host-to-host&quot; #1: STATE_MAIN_I1: initiate<br>
&gt; 010 &quot;host-to-host&quot; #1: STATE_MAIN_I1: retransmission; will wait 20s for<br>
&gt; response<br>
&gt;<br>
&gt;<br>
&gt; and I see in /etc/secure on the remote box:<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: ignoring<br>
&gt; unknown Vendor ID payload [4f457d5a765a404d5b4f5744]<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: received<br>
&gt; Vendor ID payload [Dead Peer Detection]<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: received<br>
&gt; Vendor ID payload [RFC 3947] method set to=109<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: received<br>
&gt; Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already<br>
&gt; using method 109<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: received<br>
&gt; Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already<br>
&gt; using method 109<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: received<br>
&gt; Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already<br>
&gt; using method 109<br>
&gt; Jan &nbsp;1 11:14:57 server pluto[17123]: packet from <a href="http://81.76.68.138:500" target="_blank">81.76.68.138:500</a>: initial<br>
&gt; Main Mode message received on <a href="http://94.102.146.99:500" target="_blank">94.102.146.99:500</a> but no connection has been<br>
&gt; authorized with policy=RSASIG<br>
<br>
</div>You are missing authby=secret to use PSK&#39;s on the laptop.<br>
<font color="#888888"><br>
Paul<br>
</font></blockquote></div><br>