<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=ISO-8859-1"

 http-equiv="Content-Type">

  <title></title>

</head>

<body bgcolor="#ffffff" text="#000000">

Is this problem anything to do with <a

 href="https://gsoc.xelerance.com/view.php?id=960">bug 960</a>?<br>

<br>

Without a way forward, I've had to write a script to monitor my WAN IP

and adjust the ipsec.conf accordingly. It is a bit of a kludge. Is

there any other debugging I can do? Would plutodebug help?<br>

<br>

Nick<br>

<br>

On 31/07/2009 18:19, Nick Howitt wrote:

<blockquote cite="mid:4A7327A0.1080102@gmail.com" type="cite">

  <pre wrap="">I've done a bit more troubleshooting.

With my dial-in conn, if right=%any, I am having to set left="IP 

address". If I set left=myFQDN or left=%defaultroute I get

022 connection must specify host IP address for our side

037 attempt to load incomplete connection

With my dial-out conn, if left=%defaultroute then, if right=farFQDN or 

right=FarIPAddress, I get

022 "MumOut": We cannot identify ourselves with either end of this 

connection.

Nick

On 30/07/2009 19:49, Nick Howitt wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">Any more thoughts or things I can look at?

On 28/07/2009 10:50, Nick Howitt wrote:

    </pre>

    <blockquote type="cite">

      <pre wrap="">This is a repost. The lists scrubbed the last one as it interpreted

formatting as an html attachment.

On 26/07/2009 21:01, Paul Wouters wrote:

      </pre>

      <blockquote type="cite">

        <pre wrap="">On Sun, 26 Jul 2009, Nick Howitt wrote:

        </pre>

        <blockquote type="cite">

          <pre wrap="">I have now moved it to each conn and it works the same irrespective

of where it is.

              With left=%defaultroute in my default conn and right=%any

in conn Mark

              (in ipsec.conf) in /var/log/secure I get:

        You cannot use both in the same conn, as pluto would not be

able to deduct

        if it should be left= or right=, as both are dynamic.

It used to work with CC4.3 and openswan 2.4.15 and 2.6.15.

          </pre>

        </blockquote>

        <pre wrap="">Are you sure about that? It has never been a supported method.

        </pre>

      </blockquote>

      <pre wrap="">100% positive. After the CC upgrade I reused the same conf files. I

started with the original files but I had to set oe=no instead of an

include statement. Also the upgrade moved my conf files (from /etc to

/etc/ipsec.d) so I copied them back rather than change my include

statement. I then hit this issue which I can only solve using FQDN's (or

IP's, presumably)

      </pre>

      <blockquote type="cite">

        <blockquote type="cite">

          <pre wrap="">I have now put left in the conn and with left=myFQDN, right=%any, in

/var/log/messages I still get:

Jul 26 19:12:07 server ipsec__plutorun: 022 connection must specify

host IP address for our side

Jul 26 19:12:07 server ipsec__plutorun: 037 attempt to load

incomplete connection

          </pre>

        </blockquote>

        <pre wrap="">Do you have a reachable DNS server before the tunnel is up that can

resolve myFQDN?

        </pre>

      </blockquote>

      <pre wrap="">Yes. The server has been running continuously since yesterday. I got the

latest logs doing a "service ipsec restart" today. I think the error

message is misleading as it clears when I set right=farFQDN. The tunnel

is then OK.

      </pre>

      <blockquote type="cite">

        <blockquote type="cite">

          <pre wrap="">and, similarly, in /var/log/secure:

Jul 26 19:12:07 server pluto[19800]: connection must specify host IP

address for our side

Jul 26 19:12:07 server pluto[19800]: attempt to load incomplete

connection

The error messages clear and the tunnel comes up only if I define

right=farFQDN. right=%any does not

work.

          </pre>

        </blockquote>

        <pre wrap="">right=%any should work find if you use auto=add and let the connection

be a responder. But

I think you want both ends to try to initiate to the other. That on

dynamic IP will always

be a challenge, and you will need to use DNS servers to resolve the

dyndns hostnames.

        </pre>

      </blockquote>

      <pre wrap="">This is the conn:

conn %default

       type=tunnel

       authby=secret

       keyingtries=%forever

       leftsubnet=192.168.2.0/24

       leftsourceip=192.168.2.1

       leftnexthop=%defaultroute

       rightnexthop=%defaultroute

conn Mark

       auto=add

       rekey=no

       left=myFQDN    # works in default conn as well and used to work as

%defaultroute in default conn

       # right=%any    # no longer works

       right=farFQDN

       rightsubnet=192.168.20.0/24

       rightsourceip=192.168.20.1

       rightid=@FromMark    # This must also be in the Local ID field in

the DrayTek

To be honest, I would suspect something during the CC4.3 -&gt;   5.0 upgrade

has messed up as everything was OK before and the errors are not

normally expected, but I am hoping we can pinpoint the source of the

error here. I have tried uninstalling Openswan then re-installing the CC

version (2.6.14) , but it shows the same errors. Upgrading to 2.6.22

again did nothing.

      </pre>

      <blockquote type="cite">

        <pre wrap="">Paul

        </pre>

      </blockquote>

      <pre wrap="">_______________________________________________

<a class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Building and Integrating Virtual Private Networks with Openswan:

<a class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

      </pre>

    </blockquote>

    <pre wrap="">_______________________________________________

<a class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Building and Integrating Virtual Private Networks with Openswan:

<a class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

    </pre>

  </blockquote>

  <pre wrap="">_______________________________________________

<a class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Building and Integrating Virtual Private Networks with Openswan: 

<a class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

  </pre>

</blockquote>

</body>

</html>