
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

</head>

<body bgcolor="#ffffff" text="#000000">

Hi to the ML,<br>

<br>

I want to setup multiple subnet between&nbsp; an openswan and a freeswan gw<br>

First, both VPN are UP, but after a certain time the second VPN is down.<br>

<br>

<br>

Here is my configuration:<br>

<br>

conn tunna:&nbsp;

subnetA(192.168.a.0)--------[freeswan]----0.0.0.0----[openswan]------subnetC(192.168.c.0)<br>

conn tunnb:&nbsp;

subnetB(192.168.b.0)--------[freeswan]----0.0.0.0----[openswan]------subnetC(192.168.b.0)<br>

<br>

So I use:<br>

conn tunn:&nbsp; [freeswan]----0.0.0.0----[openswan]<br>

whith the 'also' ipsec command.<br>

<br>

<br>

<br>

ipsec.conf<br>

----------<br>

<br>

[openswan]<br>

config setup<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; nhelpers=0<br>

<br>

conn tunna<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=192.168.c.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=192.168.a.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; also=tunn<br>

<br>

conn tunnb<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=192.168.c.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=192.168.b.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; also=tunn<br>

<br>

conn tunn<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=$IpLeft<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=$IPleftNextHop<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=$IpRight<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightnexthop=$IpRightNextHop<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=start<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=rsasig<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a class="moz-txt-link-abbreviated" href="mailto:leftid=@c.tunn.com">leftid=@c.tunn.com</a><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a class="moz-txt-link-abbreviated" href="mailto:rightid=@ab.tunn.com">rightid=@ab.tunn.com</a><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike=aes256-md5-modp1536<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp=aes256-md5<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=ike<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime=1h<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife=1h<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries=3<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth=esp<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftrsasigkey=0s1.....==<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightrsasigkey=0s2....==<br>

<br>

include /etc/ipsec.d/examples/no_oe.conf<br>

<br>

[freeswan]<br>

conn tunna<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=192.168.a.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=192.168.c.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; also=tunn<br>

<br>

conn tunnb<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=192.168.b.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=192.168.c.0/24<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; also=tunn<br>

<br>

conn tunn<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=$IpLeft<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=$IPleftNextHop<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=$IpRight<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightnexthop=$IpRightNextHop<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=start<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=rsasig<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike=aes256-md5-modp1536<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp=aes256-md5<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=ike<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries=3<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime=1h<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife=1h<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth=esp<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a class="moz-txt-link-abbreviated" href="mailto:leftid=@ab.tunn.com">leftid=@ab.tunn.com</a><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a class="moz-txt-link-abbreviated" href="mailto:rightid=@c.tunn..com">rightid=@c.tunn..com</a><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftrsasigkey=0s2<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightrsasigkey=0s1<br>

<br>

<br>

first, all tunnel are up, but after a certain laps of time:<br>

-both tunnel are up on freeswan side<br>

-only one tunne is up on openswan side<br>

<br>

Mar 24 07:01:31 fw2 pluto[20611]: "tunnb" #11: STATE_QUICK_R2: IPsec SA

established {ESP=&gt;0xda27d683 &lt;0xcccaaf13 xfrm=AES_256-HMAC_MD5

IPCOMP=&gt;0x0000cb30 &lt;0x0000d068 NATD=none DPD=none}<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: initiating Main Mode to

replace #9<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: received Vendor ID

payload [draft-ietf-ipsec-nat-t-ike-03] method set to=108<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: enabling possible

NAT-traversal with method RFC 3947 (NAT-Traversal)<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: transition from state

STATE_MAIN_I1 to state STATE_MAIN_I2<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: STATE_MAIN_I2: sent MI2,

expecting MR2<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: I did not send a

certificate because I do not have one.<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: NAT-Traversal: Result

using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: transition from state

STATE_MAIN_I2 to state STATE_MAIN_I3<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: STATE_MAIN_I3: sent MI3,

expecting MR3<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: Main mode peer ID is

ID_FQDN: '@ab.tunn.com'<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: transition from state

STATE_MAIN_I3 to state STATE_MAIN_I4<br>

Mar 24 07:07:45 fw2 pluto[20611]: "tunnb" #13: STATE_MAIN_I4: ISAKMP SA

established {auth=OAKLEY_RSA_SIG cipher=aes_256 prf=oakley_md5

group=modp1536}<br>

<b>Mar 24 07:18:04 fw2 pluto[20611]: "tunnb" #13: ignoring Delete SA

payload: PROTO_IPSEC_ESP SA(0xda27d67d) not found (maybe expired)<br>

Mar 24 07:18:04 fw2 pluto[20611]: "tunnb" #13: received and ignored

informational message<br>

Mar 24 07:18:29 fw2 pluto[20611]: "tunnb" #13: ignoring Delete SA

payload: PROTO_IPSEC_ESP SA(0xda27d67e) not found (maybe expired)<br>

Mar 24 07:18:29 fw2 pluto[20611]: "tunnb" #13: received and ignored

informational message<br>

Mar 24 07:19:27 fw2 pluto[20611]: "tunnb" #13: ignoring Delete SA

payload: PROTO_IPSEC_ESP SA(0xda27d67f) not found (maybe expired)<br>

Mar 24 07:19:27 fw2 pluto[20611]: "tunnb" #13: received and ignored

informational message</b><br>

Mar 24 07:52:02 fw2 pluto[20611]: "tunnb" #15: responding to Quick Mode

{msgid:2df8ae0c}<br>

Mar 24 07:52:02 fw2 pluto[20611]: "tunnb" #15: transition from state

STATE_QUICK_R0 to state STATE_QUICK_R1<br>

Mar 24 07:52:02 fw2 pluto[20611]: "tunnb" #15: STATE_QUICK_R1: sent

QR1, inbound IPsec SA installed, expecting QI2<br>

Mar 24 07:52:02 fw2 pluto[20611]: "tunnb" #15: transition from state

STATE_QUICK_R1 to state STATE_QUICK_R2<br>

Mar 24 07:52:02 fw2 pluto[20611]: "tunnb" #15: STATE_QUICK_R2: <b>IPsec

SA established </b>{ESP=&gt;0xda27d68c &lt;0xf2297cdd

xfrm=AES_256-HMAC_MD5 IPCOMP=&gt;0x0000cb31 &lt;0x0000354f NATD=none

DPD=none}<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: initiating Main Mode to

replace #13<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: received Vendor ID

payload [draft-ietf-ipsec-nat-t-ike-03] method set to=108<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: enabling possible

NAT-traversal with method RFC 3947 (NAT-Traversal)<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: transition from state

STATE_MAIN_I1 to state STATE_MAIN_I2<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: STATE_MAIN_I2: sent MI2,

expecting MR2<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: I did not send a

certificate because I do not have one.<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: NAT-Traversal: Result

using draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: transition from state

STATE_MAIN_I2 to state STATE_MAIN_I3<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: STATE_MAIN_I3: sent MI3,

expecting MR3<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: Main mode peer ID is

ID_FQDN: '@ab.tunn.com'<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: transition from state

STATE_MAIN_I3 to state STATE_MAIN_I4<br>

Mar 24 07:52:49 fw2 pluto[20611]: "tunnb" #17: STATE_MAIN_I4: <b>ISAKMP

SA established </b>{auth=OAKLEY_RSA_SIG cipher=aes_256 prf=oakley_md5

group=modp1536}<br>

<b>Mar 24 08:01:19 fw2 pluto[20611]: "tunnb" #17: ignoring Delete SA

payload: PROTO_IPSEC_ESP SA(0xda27d682) not found (maybe expired)<br>

Mar 24 08:01:19 fw2 pluto[20611]: "tunnb" #17: received and ignored

informational message<br>

Mar 24 08:01:32 fw2 pluto[20611]: "tunnb" #17: ignoring Delete SA

payload: PROTO_IPSEC_ESP SA(0xda27d683) not found (maybe expired)<br>

Mar 24 08:01:32 fw2 pluto[20611]: "tunnb" #17: received and ignored

informational message<br>

Mar 24 08:06:38 fw2 pluto[20611]: "tunnb" #17: ignoring Delete SA

payload: PROTO_IPSEC_ESP SA(0xda27d687) not found (maybe expired)<br>

Mar 24 08:06:38 fw2 pluto[20611]: "tunnb" #17: received and ignored

informational message</b><br>

<br>

I got multiple:<br>

ignoring Delete SA payload: PROTO_IPSEC_ESP SA(0xda27d682) not found

(maybe expired)<br>

<br>

if I do:<br>

ipsec auto --up tunnb<br>

<br>

then tunnb is up again...<br>

<br>

What could I do instead of a crontabl 'ipsec auto --up tunnb'&nbsp; ?<br>

Or what is wrong?<br>

<br>

Cheers.<br>

<br>

laurent.<br>

<br>

<br>

<br>

<br>

<br>

&nbsp; &nbsp;<br>

<br>

</body>

</html>