<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    ..... and I forgot to ask if you had set up your /etc/ipsec.secrets

    file (or your /etc/ipsec.d/ipsec.*.secrets file) with your secret in

    the form:<br>

    <br>

    10.0.1.1 10.0.2.1 : PSK "YourSecretGoesHere"<br>

    <br>

    Nick<br>

    <br>

    On 04/09/2011 19:41, Nick Howitt wrote:

    <blockquote cite="mid:4E63C669.1010403@gmail.com" type="cite">

      <meta content="text/html; charset=ISO-8859-1"

        http-equiv="Content-Type">

      Hi Tyler<br>

      <br>

      I am a regular over on the ClearOS forums and I'll see if I can

      give you a hand, but some of the guys on the mailing lists know a

      lot more than me.<br>

      <br>

      First off, is this a test config where your left and right are

      simulating public IP's or are both devices NAT'd? For the moment I

      will assume the former. In "config setup", please add "oe=no" and

      if you are simulating public IP's can you remove the nat_traversal

      line?<br>

      <br>

      In "conn test" please add a line

      leftsourceip="your_ClearOS_LAN_IP". I would also remove the

      references to leftupdown and rightupdown. If they are the default

      ones the references are not needed and if they are ClearOS

      tinkered ones (rather than the default ones) they are not needed

      either. Is there any reason you have rekey=no? I would let it

      rekey as you are allowing the ClearOS to initiate the connection.

      To match the Fortigate, also set ikelifetime=86400 but both these

      values are quite long. Typically you would use values of 1h and 8h

      but opinions seem to vary as to which should be which.<br>

      <br>

      With these changes what do you see in /var/log/secure when you

      start ipsec (only the later part where the conn starts

      negotiating, not where openswan is loading)? The log items contain

      the reference "pluto[....]".<br>

      <br>

      Also worth trying is to stop the ClearOS initiating the conn and

      see how it responds (rekey=no, auto=add and remove ike and

      phase2alg references.<br>

      <br>

      Regards,<br>

      <br>

      Nick<br>

      <br>

      On 30/08/2011 06:49, Tyler J. Wagner wrote:

      <blockquote cite="mid:4E5C79FC.1090507@tolaris.com" type="cite">

        <pre wrap="">Hello all,

I've been trying to bring up an IPsec VPN between a ClearOS 5.2 device and

a Fortigate router. If anyone has advice or a working example of such a

configuration, I would really appreciate the help.

The ClearOS GUI is useless for this, so I'm really just using a generic

OpenSwan device. On the ClearOS router, the firewall passes esp and ah

traffic input and output, and does not masquerade it. rp_filter is

disabled, and of course ip_forwarding is enabled.

Attached is a condensed ipsec.conf from the ClearOS GUI.

On the Fortigate router, I've created a "route-based VPN", to use the

Fortigate terminology from their IPsec user guide. This means I've

established an IPsec configuration, then created firewall policies for

internal-to-ipsec and ipsec-to-internal traffic directions. I already have

a working Fortigate-to-Fortigate IPsec VPN using this configuration. This

is a second link.

Attached are screenshots of the IPsec config from the Fortigate router.

Suggestions?

Regards,

Tyler

</pre>

        <br>

        <fieldset class="mimeAttachmentHeader"></fieldset>

        <br>

        <pre wrap="">_______________________________________________

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Micropayments: <a moz-do-not-send="true" class="moz-txt-link-freetext" href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a>

Building and Integrating Virtual Private Networks with Openswan: 

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

</pre>

      </blockquote>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

<a class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Micropayments: <a class="moz-txt-link-freetext" href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a>

Building and Integrating Virtual Private Networks with Openswan: 

<a class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

</pre>

    </blockquote>

  </body>

</html>