Hi,<br><br>  I have two nodes with CentOS 6.3 and Openswan 2.6.32 and with the same ipsec configuration. I have two questions about &quot;IKE algorithm newest&quot;, when IKEv2 is used.<br><br>conn &lt;name&gt;<br>        left=&lt;ip&gt;<br>
        leftsubnet=&lt;subnet&gt;<br>        leftid=@&lt;id_fqdn&gt;<br>        leftrsasigkey=&lt;rsa_key&gt;<br><br>        right=&lt;ip&gt;<br>        rightsubnet=&lt;subnet&gt;<br>        rightid=@&lt;id_fqdn&gt;<br>        rightrsasigkey=&lt;rsa_key&gt;<br>
<br>        authby=rsasig<br>        ike=&lt;IKE&gt;<br>        ikev2=propose<br>        phase2alg=aes256-sha1;modp2048<br><br>        auto=add<br><br><br>1. When I set ike=3des-sha1;modp2048 on both nodes, then the &quot;IKE algorithm newest&quot; is BLOWFISH_CBC_192-SHA1-MODP2048 on both sides. Is it OK or is this a bug - 3DES -&gt; BLOWFISH?<br>
<br>000 &quot;&lt;name&gt;&quot;:   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0 <br>000 &quot;&lt;name&gt;&quot;:   policy: RSASIG+ENCRYPT+TUNNEL+PFS+IKEv2ALLOW+IKEv2Init+SAREFTRACK; prio: 23,16; interface: eth0; <br>
000 &quot;&lt;name&gt;&quot;:   newest ISAKMP SA: #1; newest IPsec SA: #2; <br>000 &quot;&lt;name&gt;&quot;:   IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP2048(14); flags=-strict<br>000 &quot;&lt;name&gt;&quot;:   IKE algorithms found:  3DES_CBC(5)_192-SHA1(2)_160-MODP2048(14)<br>
000 &quot;&lt;name&gt;&quot;:   IKE algorithm newest: BLOWFISH_CBC_192-SHA1-MODP2048<br>000 &quot;&lt;name&gt;&quot;:   ESP algorithms wanted: AES(12)_256-SHA1(2)_000; pfsgroup=MODP2048(14); flags=-strict<br>000 &quot;&lt;name&gt;&quot;:   ESP algorithms loaded: AES(12)_256-SHA1(2)_160<br>
000 &quot;&lt;name&gt;&quot;:   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=MODP2048<br><br><br>2. When I set ike=aes256-sha1;modp2048 on both nodes, then the &quot;IKE algorithm newest&quot; is _256-SHA1-MODP2048 on both sides. Is it OK or is this a bug - missing AES at beginning?<br>
<br>000 &quot;&lt;name&gt;&quot;:   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0 <br>000 &quot;&lt;name&gt;&quot;:   policy: RSASIG+ENCRYPT+TUNNEL+PFS+IKEv2ALLOW+IKEv2Init+SAREFTRACK; prio: 23,16; interface: eth0; <br>
000 &quot;&lt;name&gt;&quot;:   newest ISAKMP SA: #1; newest IPsec SA: #2; <br>000 &quot;&lt;name&gt;&quot;:   IKE algorithms wanted: AES_CBC(7)_256-SHA1(2)_000-MODP2048(14); flags=-strict<br>000 &quot;&lt;name&gt;&quot;:   IKE algorithms found:  AES_CBC(7)_256-SHA1(2)_160-MODP2048(14)<br>
000 &quot;&lt;name&gt;&quot;:   IKE algorithm newest: _256-SHA1-MODP2048<br>000 &quot;&lt;name&gt;&quot;:   ESP algorithms wanted: AES(12)_256-SHA1(2)_000; pfsgroup=MODP2048(14); flags=-strict<br>000 &quot;&lt;name&gt;&quot;:   ESP algorithms loaded: AES(12)_256-SHA1(2)_160<br>
000 &quot;&lt;name&gt;&quot;:   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=MODP2048<br><br clear="all">Best regards,<br>-- <br>Karel Ziegler<br><br>