<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 12 (filtered medium)">
<style>
<!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
-->
</style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’m a newbie to Openswan, I’m trying see if Openswan and HPUX can interoperate with each other.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Though I’m successful until some extent but not completely. <o:p>
</o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is the issue I’m facing. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’m able to form a IKEV1 SA successfully but not able to form a IPSEC SA. The IPSEC SA is formed in larval state but doesn’t get established.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The intension is to secure telnet between the two machines. <o:p>
</o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Can someone help?? If you need more information I would be happy to provide.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is the info. <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[root@rtrbl2 ~]# setkey -D<o:p></o:p></p>
<p class="MsoNormal">192.168.0.197 10.1.0.171<o:p></o:p></p>
<p class="MsoNormal"> esp mode=transport spi=2787419998(0xa624a75e) reqid=16389(0x00004005)<o:p></o:p></p>
<p class="MsoNormal"> seq=0x00000000 replay=0 flags=0x00000000 state=larval<o:p></o:p></p>
<p class="MsoNormal"> created: Aug 23 18:47:47 2011 current: Aug 23 18:48:16 2011<o:p></o:p></p>
<p class="MsoNormal"> diff: 29(s) hard: 30(s) soft: 0(s)<o:p></o:p></p>
<p class="MsoNormal"> last: hard: 0(s) soft: 0(s)<o:p></o:p></p>
<p class="MsoNormal"> current: 0(bytes) hard: 0(bytes) soft: 0(bytes)<o:p></o:p></p>
<p class="MsoNormal"> allocated: 0 hard: 0 soft: 0<o:p></o:p></p>
<p class="MsoNormal"> sadb_seq=0 pid=5961 refcnt=0<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is my /etc/ipsec.conf file <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># /etc/ipsec.conf - Openswan IPsec configuration file<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># This file: /usr/local/share/doc/openswan/ipsec.conf-sample<o:p></o:p></p>
<p class="MsoNormal">#<o:p></o:p></p>
<p class="MsoNormal"># Manual: ipsec.conf.5<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">version 2.0 # conforms to second version of ipsec.conf specification<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># basic configuration<o:p></o:p></p>
<p class="MsoNormal">config setup<o:p></o:p></p>
<p class="MsoNormal"> # Do not set debug options to debug configuration issues!<o:p></o:p></p>
<p class="MsoNormal"> # plutodebug / klipsdebug = "all", "none" or a combation from below:<o:p></o:p></p>
<p class="MsoNormal"> # "raw crypt parsing emitting control klips pfkey natt x509 dpd private"<o:p></o:p></p>
<p class="MsoNormal"> # eg:<o:p></o:p></p>
<p class="MsoNormal"> # plutodebug="control parsing"<o:p></o:p></p>
<p class="MsoNormal"> # Again: only enable plutodebug or klipsdebug when asked by a developer<o:p></o:p></p>
<p class="MsoNormal"> #<o:p></o:p></p>
<p class="MsoNormal"> # enable to get logs per-peer<o:p></o:p></p>
<p class="MsoNormal"> # plutoopts="--perpeerlog"<o:p></o:p></p>
<p class="MsoNormal"> #<o:p></o:p></p>
<p class="MsoNormal"> # Enable core dumps (might require system changes, like ulimit -C)<o:p></o:p></p>
<p class="MsoNormal"> # This is required for abrtd to work properly<o:p></o:p></p>
<p class="MsoNormal"> # Note: incorrect SElinux policies might prevent pluto writing the core<o:p></o:p></p>
<p class="MsoNormal"> dumpdir=/var/run/pluto/<o:p></o:p></p>
<p class="MsoNormal"> #<o:p></o:p></p>
<p class="MsoNormal"> # NAT-TRAVERSAL support, see README.NAT-Traversal<o:p></o:p></p>
<p class="MsoNormal"># nat_traversal=yes<o:p></o:p></p>
<p class="MsoNormal"> # exclude networks used on server side by adding %v4:!a.b.c.0/24<o:p></o:p></p>
<p class="MsoNormal"> # It seems that T-Mobile in the US and Rogers/Fido in Canada are<o:p></o:p></p>
<p class="MsoNormal"> # using %v4:25/8 as "private" address space on their 3G network.<o:p></o:p></p>
<p class="MsoNormal"> # This range has not been announced via BGP (at least upto 2010-12-21)<o:p></o:p></p>
<p class="MsoNormal"># virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25/8<o:p></o:p></p>
<p class="MsoNormal"> # OE is now off by default. Uncomment and change to on, to enable.<o:p></o:p></p>
<p class="MsoNormal"> oe=off<o:p></o:p></p>
<p class="MsoNormal"> # which IPsec stack to use. auto will try netkey, then klips then mast<o:p></o:p></p>
<p class="MsoNormal"># protostack=auto<o:p></o:p></p>
<p class="MsoNormal"> protostack=netkey<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># Add connections here<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># sample VPN connection<o:p></o:p></p>
<p class="MsoNormal"># for more examples, see /etc/ipsec.d/examples/<o:p></o:p></p>
<p class="MsoNormal">#conn sample<o:p></o:p></p>
<p class="MsoNormal"># # Left security gateway, subnet behind it, nexthop toward right.<o:p></o:p></p>
<p class="MsoNormal"># left=10.0.0.1<o:p></o:p></p>
<p class="MsoNormal"># leftsubnet=172.16.0.0/24<o:p></o:p></p>
<p class="MsoNormal"># leftnexthop=10.22.33.44<o:p></o:p></p>
<p class="MsoNormal"># # Right security gateway, subnet behind it, nexthop toward left.<o:p></o:p></p>
<p class="MsoNormal"># right=10.12.12.1<o:p></o:p></p>
<p class="MsoNormal"># rightsubnet=192.168.0.0/24<o:p></o:p></p>
<p class="MsoNormal"># rightnexthop=10.101.102.103<o:p></o:p></p>
<p class="MsoNormal"># # To authorize this connection, but not actually start it,<o:p></o:p></p>
<p class="MsoNormal"># # at startup, uncomment this.<o:p></o:p></p>
<p class="MsoNormal"># #auto=add<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn hpux<o:p></o:p></p>
<p class="MsoNormal"> type=transport<o:p></o:p></p>
<p class="MsoNormal"> authby=secret<o:p></o:p></p>
<p class="MsoNormal"> keyexchange=ike<o:p></o:p></p>
<p class="MsoNormal"> left=10.1.0.171<o:p></o:p></p>
<p class="MsoNormal"> leftprotoport=tcp/telnet<o:p></o:p></p>
<p class="MsoNormal"> leftnexthop=%defaultroute<o:p></o:p></p>
<p class="MsoNormal"> right=192.168.0.197 <o:p></o:p></p>
<p class="MsoNormal"> rightprotoport=tcp/telnet<o:p></o:p></p>
<p class="MsoNormal"> rightnexthop=%defaultroute<o:p></o:p></p>
<p class="MsoNormal"># ikev2=insist<o:p></o:p></p>
<p class="MsoNormal"> pfs=yes<o:p></o:p></p>
<p class="MsoNormal"># ike=aes128-sha1;dh24<o:p></o:p></p>
<p class="MsoNormal"> ike=3des-md5-modp1024<o:p></o:p></p>
<p class="MsoNormal"> phase2=esp<o:p></o:p></p>
<p class="MsoNormal"> phase2alg=3des-md5<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Following is my configuration on HPUX <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">ms10# ipsec_config show all<o:p></o:p></p>
<p class="MsoNormal"> startup<o:p></o:p></p>
<p class="MsoNormal"> -autoboot OFF<o:p></o:p></p>
<p class="MsoNormal"> -auditlvl ERROR<o:p></o:p></p>
<p class="MsoNormal"> -auditdir /var/adm/ipsec<o:p></o:p></p>
<p class="MsoNormal"> -maxsize 100<o:p></o:p></p>
<p class="MsoNormal"> -spi_min 0x12c<o:p></o:p></p>
<p class="MsoNormal"> -spi_max 0x2625a0<o:p></o:p></p>
<p class="MsoNormal"> -spd_soft 25<o:p></o:p></p>
<p class="MsoNormal"> -spd_hard 50<o:p></o:p></p>
<p class="MsoNormal"> -icmp_error_process OFF<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> auth RHEL<o:p></o:p></p>
<p class="MsoNormal"> -remote 10.1.0.171/32<o:p></o:p></p>
<p class="MsoNormal"> -exchange MM<o:p></o:p></p>
<p class="MsoNormal"> -priority 30<o:p></o:p></p>
<p class="MsoNormal"> -rtype IPV4<o:p></o:p></p>
<p class="MsoNormal"> -rid 10.1.0.171/32<o:p></o:p></p>
<p class="MsoNormal"> -kmp ikev1<o:p></o:p></p>
<p class="MsoNormal"> -local_method PSK<o:p></o:p></p>
<p class="MsoNormal"> -remote_method PSK<o:p></o:p></p>
<p class="MsoNormal"> -preshared ipsec1234<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> ikev1 default<o:p></o:p></p>
<p class="MsoNormal"> -group 2<o:p></o:p></p>
<p class="MsoNormal"> -hash MD5<o:p></o:p></p>
<p class="MsoNormal"> -encryption 3DES<o:p></o:p></p>
<p class="MsoNormal"> -life 28800<o:p></o:p></p>
<p class="MsoNormal"> -pfs OFF<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> ikev2 default<o:p></o:p></p>
<p class="MsoNormal"> -group 2<o:p></o:p></p>
<p class="MsoNormal"> -hash HMAC-SHA1<o:p></o:p></p>
<p class="MsoNormal"> -encryption 3DES<o:p></o:p></p>
<p class="MsoNormal"> -prf HMAC-SHA1<o:p></o:p></p>
<p class="MsoNormal"> -life 28800<o:p></o:p></p>
<p class="MsoNormal"> -pfs OFF<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> host TO_RHEL<o:p></o:p></p>
<p class="MsoNormal"> -source 192.168.0.197 /32/0-65535<o:p></o:p></p>
<p class="MsoNormal"> -destination 10.1.0.171/32/23<o:p></o:p></p>
<p class="MsoNormal"> -protocol 6<o:p></o:p></p>
<p class="MsoNormal"> -priority 40<o:p></o:p></p>
<p class="MsoNormal"> -action ESP_3DES_HMAC_SHA1/28800/0<o:p></o:p></p>
<p class="MsoNormal"> -flags NONE<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> host FROM_RHEL<o:p></o:p></p>
<p class="MsoNormal"> -source 192.168.0.197 /32/23<o:p></o:p></p>
<p class="MsoNormal"> -destination 10.1.0.171/32/0-65535<o:p></o:p></p>
<p class="MsoNormal"> -protocol 6<o:p></o:p></p>
<p class="MsoNormal"> -priority 50<o:p></o:p></p>
<p class="MsoNormal"> -action ESP_3DES_HMAC_SHA1/28800/0<o:p></o:p></p>
<p class="MsoNormal"> -flags NONE<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"> host default<o:p></o:p></p>
<p class="MsoNormal"> -action PASS<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
<p class="MsoNormal">Murali<o:p></o:p></p>
</div>
</body>
</html>