<div dir="ltr">tunnel is up. it was a misconfiguration error -- wrong subnet.</div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/4/16 Viacheslav Dushin <span dir="ltr">&lt;<a href="mailto:slava333@gmail.com" target="_blank">slava333@gmail.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I realized that the problem is somewhere here:<div>&gt;000 &quot;telphin&quot;:   IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP1536(5), 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2); flags=-strict</div>
<div>
&gt;000 &quot;telphin&quot;:   IKE algorithms found:  3DES_CBC(5)_192-SHA1(2)_160-MODP1536(5)3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)</div><div class="im"><div>&gt;000 &quot;telphin&quot;:   IKE algorithm newest: 3DES_CBC_192-SHA1-MODP1024</div>

</div><div>&gt;000 &quot;telphin&quot;:   ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000; flags=-strict</div><div class="im"><div>&gt;000 &quot;telphin&quot;:   ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160</div><div><br>
</div></div><div>But I still don&#39;t understand how to strictly specify the algorithms it needs.</div>
</div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><br><div class="gmail_quote">2013/4/16 Viacheslav Dushin <span dir="ltr">&lt;<a href="mailto:slava333@gmail.com" target="_blank">slava333@gmail.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr"><div>Hi, everybody.</div><div>First of all, thanks for the answers</div><div><br></div><div>I also have some stupid questions: what does all these states mean? What is the last state after establishing a connection?</div>


<div><br></div><div>In some tutorials PKS is inside brackets, but on in the other ones it&#39;s without them. Which one is correct? My PKS contains letters and numbers only:</div><div><br></div><div>my /etc/ipsec.secrets file</div>


<div><br></div><div><br></div><div># this file is managed with debconf and will contain the automatically created RSA keys</div><div>#include /var/lib/openswan/ipsec.secrets.inc</div><div><br></div><div>1.1.1.123 <a href="http://2.2.2.2" target="_blank">2.2.2.2</a>: PSK XXXXXX </div>


<div><br></div><div>/etc/ipsec.secrets file ends</div><div><br></div><div>Also does anybody have succeeded in using openswan on XEN VPS and/or Cisco-Unity? Maybe the problem is in XEN or Cisco-Unity.</div><div><br></div>

<div>
I&#39;ll keep digging.</div><div><br></div><div>Thanks, Slava</div><div><div><br></div><div>2013/4/16 Simon Deziel &lt;<a href="mailto:simon@xelerance.com" target="_blank">simon@xelerance.com</a>&gt;</div><div>
&gt; Hi Slava,</div><div>&gt; </div>
<div>&gt; On 13-04-15 10:59 AM, Viacheslav Dushin wrote:</div><div>&gt; &gt; Hi, I&#39;m trying to create site-to-site connection</div><div>&gt; &gt;</div><div>&gt; &gt;</div><div>&gt; &gt; My provider sent me the following settings:</div>


<div>&gt; &gt;</div><div>&gt; &gt;&gt;VPN server address – 2.2.2.2</div><div>&gt; &gt;&gt;Client subnet <a href="http://10.128.139.0/24" target="_blank">10.128.139.0/24</a> &lt;<a href="http://10.128.139.0/24" target="_blank">http://10.128.139.0/24</a>&gt;</div>


<div>&gt; &gt;&gt;Destiantion subnet - <a href="http://10.128.0.0/24" target="_blank">10.128.0.0/24</a> &lt;<a href="http://10.128.0.0/24" target="_blank">http://10.128.0.0/24</a>&gt;</div><div>&gt; &gt;&gt;PSK: – XXXXXXXXX</div>

<div>&gt; &gt;&gt;VPN mode: – tunnel, PSK, 3DES encryption, hash: SHA1,  UDP encapsulation</div>
<div>&gt; </div><div>&gt; UDP encapsulation means you should enable nat_traversal and might also</div><div>&gt; need to use &quot;forceencaps=yes&quot; for the connection. You might also need to</div><div>&gt; disable PFS but this should be confirmed with the remote side.</div>


<div>&gt; </div><div>&gt; HTH,</div><div>&gt; Simon</div><div><br></div></div><div>What if I don&#39;t need nat traversal? I have no NAT on my server. Or is it my provider, who is behind NAT?</div><div><div><br>
</div><div><br></div>
<div>2013/4/15 Gertjan Baarda &lt;<a href="mailto:gertjan.baarda@gmail.com" target="_blank">gertjan.baarda@gmail.com</a>&gt;</div><div>&gt; This message can appear for various reasons, most likely both sides can&#39;t agree on the IKE params.</div>


<div>&gt; Try:</div><div>&gt; pfs=no</div><div>&gt; ike=3des-sha1-modp1024</div><div>&gt; esp=3des-sha1</div><div>&gt; (notice the removed exclamation point)</div><div>&gt; </div><div>&gt; or else:</div><div>&gt; pfs=no</div>


<div>&gt; ike=3des-sha1</div><div>&gt; esp=3des-sha1</div><div><br></div></div><div>Still the same: with modp1024 or without it hangs on STATE_MAIN_I4</div><div><div><br></div><div><br></div><div>2013/4/15 Leto &lt;<a href="mailto:letoams@gmail.com" target="_blank">letoams@gmail.com</a>&gt;</div>


<div>&gt; try modp1536 and/or pfs=no</div><div>&gt; </div><div>&gt; sent from a tiny device</div></div><div>In case of modp1536 or modp2048 it hangs on the first stage  (STATE_MAIN_I1)</div><div><div><div><br>
</div><div class="gmail_extra">
<br><br><div class="gmail_quote">2013/4/16 Simon Deziel <span dir="ltr">&lt;<a href="mailto:simon@xelerance.com" target="_blank">simon@xelerance.com</a>&gt;</span><br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">Hi Slava,<br>
<div><br>
On 13-04-15 10:59 AM, Viacheslav Dushin wrote:<br>
&gt; Hi, I&#39;m trying to create site-to-site connection<br>
&gt;<br>
&gt;<br>
&gt; My provider sent me the following settings:<br>
&gt;<br>
&gt;&gt;VPN server address – 2.2.2.2<br>
</div>&gt;&gt;Client subnet <a href="http://10.128.139.0/24" target="_blank">10.128.139.0/24</a> &lt;<a href="http://10.128.139.0/24" target="_blank">http://10.128.139.0/24</a>&gt;<br>
&gt;&gt;Destiantion subnet - <a href="http://10.128.0.0/24" target="_blank">10.128.0.0/24</a> &lt;<a href="http://10.128.0.0/24" target="_blank">http://10.128.0.0/24</a>&gt;<br>
<div>&gt;&gt;PSK: – XXXXXXXXX<br>
&gt;&gt;VPN mode: – tunnel, PSK, 3DES encryption, hash: SHA1,  UDP encapsulation<br>
<br>
</div>UDP encapsulation means you should enable nat_traversal and might also<br>
need to use &quot;forceencaps=yes&quot; for the connection. You might also need to<br>
disable PFS but this should be confirmed with the remote side.<br>
<br>
HTH,<br>
Simon<br>
<div><div><br>
&gt; I configured it accordingly, but it doesn&#39;t want to connect:<br>
&gt;<br>
&gt; It fails with &quot;NO_PROPOSAL_CHOSEN&quot;<br>
&gt;<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: transition from state<br>
&gt; STATE_MAIN_I3 to state STATE_MAIN_I4<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: STATE_MAIN_I4: ISAKMP<br>
&gt; SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192<br>
&gt; prf=oakley_sha group=modp1024}<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #2: initiating Quick Mode<br>
&gt; PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK {using isakmp#1<br>
&gt; msgid:cccf4cf7 proposal=3DES(3)_192-SHA1(2)_160<br>
&gt; pfsgroup=OAKLEY_GROUP_MODP1024}<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: ignoring<br>
&gt; informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: received and ignored<br>
&gt; informational message<br>
&gt;<br>
&gt;<br>
&gt; Openswan version: Linux Openswan U2.6.38/K3.1.0-1.2-xen (netkey)<br>
&gt;<br>
&gt;<br>
&gt; 1.1.1.123 is my local address<br>
&gt; 1.1.1.1 is my default gateway<br>
&gt; 2.2.2.2 is remote server address<br>
&gt;<br>
&gt;<br>
&gt; Thanks, Slava<br>
&gt;<br>
&gt;<br>
&gt; See all logs and configs below:<br>
&gt;<br>
&gt;<br>
&gt; ipsec.conf start<br>
&gt;<br>
&gt;<br>
&gt; # /etc/ipsec.conf - Openswan IPsec configuration file<br>
&gt;<br>
&gt; # This file:  /usr/share/doc/openswan/ipsec.conf-sample<br>
&gt; #<br>
&gt; # Manual:     ipsec.conf.5<br>
&gt;<br>
&gt;<br>
</div></div>&gt; version2.0# conforms to second version of ipsec.conf specification<br>
<div><div>&gt;<br>
&gt; # basic configuration<br>
&gt; config setup<br>
&gt;         #interfaces=&quot;%defaultroute&quot;<br>
&gt; # Do not set debug options to debug configuration issues!<br>
&gt; # plutodebug / klipsdebug = &quot;all&quot;, &quot;none&quot; or a combation from below:<br>
&gt; # &quot;raw crypt parsing emitting control klips pfkey natt x509 dpd private&quot;<br>
&gt; # eg:<br>
&gt; # plutodebug=&quot;control parsing&quot;<br>
&gt; # Again: only enable plutodebug or klipsdebug when asked by a developer<br>
&gt; #<br>
&gt; # enable to get logs per-peer<br>
&gt; # plutoopts=&quot;--perpeerlog&quot;<br>
&gt; #<br>
&gt; # Enable core dumps (might require system changes, like ulimit -C)<br>
&gt; # This is required for abrtd to work properly<br>
&gt; # Note: incorrect SElinux policies might prevent pluto writing the core<br>
&gt; dumpdir=/var/run/pluto/<br>
&gt; #<br>
&gt; # NAT-TRAVERSAL support, see README.NAT-Traversal<br>
&gt; nat_traversal=no<br>
&gt; # exclude networks used on server side by adding %v4:!a.b.c.0/24<br>
&gt; # It seems that T-Mobile in the US and Rogers/Fido in Canada are<br>
&gt; # using 25/8 as &quot;private&quot; address space on their 3G network.<br>
&gt; # This range has not been announced via BGP (at least upto 2010-12-21)<br>
&gt; virtual_private=%v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10" target="_blank">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10</a><br>





</div></div>&gt; &lt;<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10" target="_blank">http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10</a>&gt;<br>





<div>&gt; # OE is now off by default. Uncomment and change to on, to enable.<br>
&gt; oe=off<br>
&gt; # which IPsec stack to use. auto will try netkey, then klips then mast<br>
&gt; protostack=netkey<br>
&gt; # Use this to log to a file, or disable logging on embedded systems<br>
&gt; (like openwrt)<br>
&gt; #plutostderrlog=/dev/null<br>
&gt;<br>
&gt;<br>
&gt; # Add connections here<br>
&gt;<br>
&gt; # sample VPN connection<br>
&gt; # for more examples, see /etc/ipsec.d/examples/<br>
&gt; #conn sample<br>
</div>&gt; ## Left security gateway, subnet behind it, nexthop toward right.<br>
&gt; #left=10.0.0.1<br>
&gt; #leftsubnet=<a href="http://172.16.0.0/24" target="_blank">172.16.0.0/24</a> &lt;<a href="http://172.16.0.0/24" target="_blank">http://172.16.0.0/24</a>&gt;<br>
&gt; #leftnexthop=10.22.33.44<br>
&gt; ## Right security gateway, subnet behind it, nexthop toward left.<br>
&gt; #right=10.12.12.1<br>
&gt; #rightsubnet=<a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> &lt;<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>&gt;<br>
&gt; #rightnexthop=10.101.102.103<br>
&gt; ## To authorize this connection, but not actually start it,<br>
<div>&gt; ## at startup, uncomment this.<br>
&gt; ##auto=add<br>
&gt;<br>
&gt;<br>
&gt; conn telphin<br>
&gt;                left=1.1.1.123 # left for local<br>
</div>&gt;                leftsubnet=<a href="http://10.128.139.0/24" target="_blank">10.128.139.0/24</a> &lt;<a href="http://10.128.139.0/24" target="_blank">http://10.128.139.0/24</a>&gt;<br>
<div>&gt;                leftnexthop=%defaultroute<br>
&gt;                right=2.2.2.2 # right for remote<br>
</div>&gt;                rightsubnet=<a href="http://10.128.0.0/24" target="_blank">10.128.0.0/24</a> &lt;<a href="http://10.128.0.0/24" target="_blank">http://10.128.0.0/24</a>&gt;<br>
<div>&gt;                rightnexthop=%defaultroute<br>
&gt;                type=tunnel<br>
&gt;                authby=secret<br>
&gt;                auto=start<br>
&gt;                auth=esp<br>
&gt;               keyexchange=ike<br>
&gt;               ike=3des-sha1-modp1024!<br>
&gt;               esp=3des-sha1!<br>
&gt;               pfs=yes<br>
&gt;<br>
&gt; ipsec.conf end<br>
&gt;<br>
&gt;<br>
&gt; status start<br>
&gt;<br>
&gt; ipsec auto --status<br>
&gt; 000 using kernel interface: netkey<br>
&gt; 000 interface lo/lo ::1<br>
&gt; 000 interface lo/lo 127.0.0.1<br>
&gt; 000 interface eth0/eth0 1.1.1.123<br>
&gt; 000 interface tun0/tun0 10.128.139.1<br>
&gt; 000 %myid = (none)<br>
&gt; 000 debug none<br>
&gt; 000<br>
&gt; 000 virtual_private (%priv):<br>
</div>&gt; 000 - allowed 6 subnets: <a href="http://10.0.0.0/8" target="_blank">10.0.0.0/8</a> &lt;<a href="http://10.0.0.0/8" target="_blank">http://10.0.0.0/8</a>&gt;, <a href="http://192.168.0.0/16" target="_blank">192.168.0.0/16</a><br>





&gt; &lt;<a href="http://192.168.0.0/16" target="_blank">http://192.168.0.0/16</a>&gt;, <a href="http://172.16.0.0/12" target="_blank">172.16.0.0/12</a> &lt;<a href="http://172.16.0.0/12" target="_blank">http://172.16.0.0/12</a>&gt;,<br>





&gt; <a href="http://25.0.0.0/8" target="_blank">25.0.0.0/8</a> &lt;<a href="http://25.0.0.0/8" target="_blank">http://25.0.0.0/8</a>&gt;, fd00::/8, fe80::/10<br>
<div><div>&gt; 000 - disallowed 0 subnets:<br>
&gt; 000 WARNING: Disallowed subnets in virtual_private= is empty. If you have<br>
&gt; 000          private address space in internal use, it should be excluded!<br>
&gt; 000<br>
&gt; 000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64,<br>
&gt; keysizemax=64<br>
&gt; 000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192,<br>
&gt; keysizemax=192<br>
&gt; 000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40,<br>
&gt; keysizemax=128<br>
&gt; 000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8,<br>
&gt; keysizemin=40, keysizemax=448<br>
&gt; 000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0,<br>
&gt; keysizemax=0<br>
&gt; 000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128,<br>
&gt; keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8,<br>
&gt; keysizemin=160, keysizemax=288<br>
&gt; 000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8,<br>
&gt; keysizemin=128, keysizemax=256<br>
&gt; 000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5,<br>
&gt; keysizemin=128, keysizemax=128<br>
&gt; 000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1,<br>
&gt; keysizemin=160, keysizemax=160<br>
&gt; 000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256,<br>
&gt; keysizemin=256, keysizemax=256<br>
&gt; 000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384,<br>
&gt; keysizemin=384, keysizemax=384<br>
&gt; 000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512,<br>
&gt; keysizemin=512, keysizemax=512<br>
&gt; 000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD,<br>
&gt; keysizemin=160, keysizemax=160<br>
&gt; 000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC,<br>
&gt; keysizemin=128, keysizemax=128<br>
&gt; 000 algorithm ESP auth attr: id=251, name=AUTH_ALGORITHM_NULL_KAME,<br>
&gt; keysizemin=0, keysizemax=0<br>
&gt; 000<br>
&gt; 000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131<br>
&gt; 000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8,<br>
&gt; keydeflen=192<br>
&gt; 000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16,<br>
&gt; keydeflen=128<br>
&gt; 000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16<br>
&gt; 000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20<br>
&gt; 000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32<br>
&gt; 000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64<br>
&gt; 000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024<br>
&gt; 000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536<br>
&gt; 000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048<br>
&gt; 000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072<br>
&gt; 000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096<br>
&gt; 000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144<br>
&gt; 000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192<br>
&gt; 000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024<br>
&gt; 000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048<br>
&gt; 000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048<br>
&gt; 000<br>
&gt; 000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,36}<br>
&gt; trans={0,2,1536} attrs={0,2,2048}<br>
&gt; 000<br>
&gt; 000 &quot;telphin&quot;: <a href="http://10.128.139.0/24===1.1.1.123" target="_blank">10.128.139.0/24===1.1.1.123</a><br>
</div></div>&gt; &lt;<a href="http://10.128.139.0/24===1.1.1.123" target="_blank">http://10.128.139.0/24===1.1.1.123</a>&gt;&lt;1.1.1.123&gt;---1.1.1.1...1.1.1.1---2.2.2.2&lt;2.2.2.2&gt;===<a href="http://10.128.0.0/24" target="_blank">10.128.0.0/24</a><br>





&gt; &lt;<a href="http://10.128.0.0/24" target="_blank">http://10.128.0.0/24</a>&gt;; prospective erouted; eroute owner: #0<br>
<div><div>&gt; 000 &quot;telphin&quot;:     myip=unset; hisip=unset;<br>
&gt; 000 &quot;telphin&quot;:   ike_life: 3600s; ipsec_life: 28800s; rekey_margin:<br>
&gt; 540s; rekey_fuzz: 100%; keyingtries: 0<br>
&gt; 000 &quot;telphin&quot;:   policy:<br>
&gt; PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,24;<br>
&gt; interface: eth0;<br>
&gt; 000 &quot;telphin&quot;:   newest ISAKMP SA: #1; newest IPsec SA: #0;<br>
&gt; 000 &quot;telphin&quot;:   IKE algorithms wanted:<br>
&gt; 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2); flags=strict<br>
&gt; 000 &quot;telphin&quot;:   IKE algorithms found:<br>
&gt;  3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)<br>
&gt; 000 &quot;telphin&quot;:   IKE algorithm newest: 3DES_CBC_192-SHA1-MODP1024<br>
&gt; 000 &quot;telphin&quot;:   ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000;<br>
&gt; flags=strict<br>
&gt; 000 &quot;telphin&quot;:   ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160<br>
&gt; 000<br>
&gt; 000 #2: &quot;telphin&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1);<br>
&gt; EVENT_RETRANSMIT in 33s; lastdpd=-1s(seq in:0 out:0); idle; import:admin<br>
&gt; initiate<br>
&gt; 000 #1: &quot;telphin&quot;:500 STATE_MAIN_I4 (ISAKMP SA established);<br>
&gt; EVENT_SA_REPLACE in 2792s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0);<br>
&gt; idle; import:admin initiate<br>
&gt; 000<br>
&gt;<br>
&gt; status end<br>
&gt;<br>
&gt;<br>
&gt; log file start<br>
&gt;<br>
&gt; Apr 15 18:34:38 vm12202 ipsec__plutorun: Starting Pluto subsystem...<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: Starting Pluto (Openswan Version<br>
&gt; 2.6.38; Vendor ID OEvy\134kgzWq\134s) pid:4039<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: LEAK_DETECTIVE support [disabled]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: OCF support for IKE [disabled]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: SAref support [disabled]: Protocol<br>
&gt; not available<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: SAbind support [disabled]: Protocol<br>
&gt; not available<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: NSS support [disabled]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: HAVE_STATSD notification support<br>
&gt; not compiled in<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: Setting NAT-Traversal port-4500<br>
&gt; floating to off<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]:    port floating activation<br>
&gt; criteria nat_t=0/port_float=1<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]:    NAT-Traversal support  [disabled]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: using /dev/urandom as source of<br>
&gt; random entropy<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; OAKLEY_AES_CBC: Ok (ret=0)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_hash(): Activating<br>
&gt; OAKLEY_SHA2_512: Ok (ret=0)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_hash(): Activating<br>
&gt; OAKLEY_SHA2_256: Ok (ret=0)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: starting up 1 cryptographic helpers<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: started helper pid=4041 (fd:6)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: Using Linux 2.6 IPsec interface<br>
&gt; code on 3.1.0-1.2-xen (experimental code)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4041]: using /dev/urandom as source of<br>
&gt; random entropy<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; aes_ccm_8: Ok (ret=0)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_add(): ERROR: algo_type<br>
&gt; &#39;0&#39;, algo_id &#39;0&#39;, Algorithm type already exists<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; aes_ccm_12: FAILED (ret=-17)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_add(): ERROR: algo_type<br>
&gt; &#39;0&#39;, algo_id &#39;0&#39;, Algorithm type already exists<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; aes_ccm_16: FAILED (ret=-17)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_add(): ERROR: algo_type<br>
&gt; &#39;0&#39;, algo_id &#39;0&#39;, Algorithm type already exists<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; aes_gcm_8: FAILED (ret=-17)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_add(): ERROR: algo_type<br>
&gt; &#39;0&#39;, algo_id &#39;0&#39;, Algorithm type already exists<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; aes_gcm_12: FAILED (ret=-17)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_add(): ERROR: algo_type<br>
&gt; &#39;0&#39;, algo_id &#39;0&#39;, Algorithm type already exists<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: ike_alg_register_enc(): Activating<br>
&gt; aes_gcm_16: FAILED (ret=-17)<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: added connection description &quot;telphin&quot;<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: listening for IKE messages<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: adding interface tun0/tun0<br>
</div></div>&gt; <a href="http://10.128.139.1:500" target="_blank">10.128.139.1:500</a> &lt;<a href="http://10.128.139.1:500" target="_blank">http://10.128.139.1:500</a>&gt;<br>
<div>&gt; Apr 15 18:34:38 vm12202 pluto[4039]: adding interface eth0/eth0<br>
</div>&gt; <a href="http://1.1.1.123:500" target="_blank">1.1.1.123:500</a> &lt;<a href="http://1.1.1.123:500" target="_blank">http://1.1.1.123:500</a>&gt;<br>
<div>&gt; Apr 15 18:34:38 vm12202 pluto[4039]: adding interface lo/lo<br>
</div>&gt; <a href="http://127.0.0.1:500" target="_blank">127.0.0.1:500</a> &lt;<a href="http://127.0.0.1:500" target="_blank">http://127.0.0.1:500</a>&gt;<br>
<div><div>&gt; Apr 15 18:34:38 vm12202 pluto[4039]: adding interface lo/lo ::1:500<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: loading secrets from<br>
&gt; &quot;/etc/ipsec.secrets&quot;<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: initiating Main Mode<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: transition from state<br>
&gt; STATE_MAIN_I1 to state STATE_MAIN_I2<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: STATE_MAIN_I2: sent<br>
&gt; MI2, expecting MR2<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: received Vendor ID<br>
&gt; payload [Cisco-Unity]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: received Vendor ID<br>
&gt; payload [Dead Peer Detection]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: ignoring unknown<br>
&gt; Vendor ID payload [24f71717df62d1ed92fbaa8e988a9af6]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: received Vendor ID<br>
&gt; payload [XAUTH]<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: transition from state<br>
&gt; STATE_MAIN_I2 to state STATE_MAIN_I3<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: STATE_MAIN_I3: sent<br>
&gt; MI3, expecting MR3<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: Main mode peer ID is<br>
&gt; ID_IPV4_ADDR: &#39;2.2.2.2&#39;<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: transition from state<br>
&gt; STATE_MAIN_I3 to state STATE_MAIN_I4<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: STATE_MAIN_I4: ISAKMP<br>
&gt; SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192<br>
&gt; prf=oakley_sha group=modp1024}<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #2: initiating Quick Mode<br>
&gt; PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK {using isakmp#1<br>
&gt; msgid:cccf4cf7 proposal=3DES(3)_192-SHA1(2)_160<br>
&gt; pfsgroup=OAKLEY_GROUP_MODP1024}<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: ignoring<br>
&gt; informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000<br>
&gt; Apr 15 18:34:38 vm12202 pluto[4039]: &quot;telphin&quot; #1: received and ignored<br>
&gt; informational message<br>
&gt;<br>
&gt; log file end<br>
&gt;<br>
&gt;<br>
</div></div><div><div>&gt; _______________________________________________<br>
&gt; <a href="mailto:Users@lists.openswan.org" target="_blank">Users@lists.openswan.org</a><br>
&gt; <a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>
&gt; Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>
&gt; Building and Integrating Virtual Private Networks with Openswan:<br>
&gt; <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>
&gt;<br>
<br>
_______________________________________________<br>
<a href="mailto:Users@lists.openswan.org" target="_blank">Users@lists.openswan.org</a><br>
<a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>
Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>
Building and Integrating Virtual Private Networks with Openswan:<br>
<a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>
</div></div></blockquote></div><br></div></div></div></div>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>