<div dir="ltr">Hi All<div><br></div><div style>Apologies for the probable stupid question - but I am having some problems getting an IPSEC tunnel up and running to a provider.</div><div style><br></div><div style>Here is my network config:</div><div style><br></div><div style><b>Connecting Server</b></div><div style>Connecting Server has two interfaces</div><div style>eth0: x.x.x.x/28<br></div><div style>eth1: <a href="http://10.0.64.150/24">10.0.64.150/24</a></div><div style><br></div><div style>Connecting server is running CentOS 6.6, OpenSwan (2.6.32-37.el6)</div><div style><br></div><div style>Here is a verify:</div><div style><div># ipsec verify</div><div>Checking your system to see if IPsec got installed and started correctly:</div><div>Version check and ipsec on-path                             <span class="" style="white-space:pre">      </span>[OK]</div><div>Linux Openswan U2.6.32/K2.6.32-504.el6.x86_64 (netkey)</div><div>Checking for IPsec support in kernel                        <span class="" style="white-space:pre">  </span>[OK]</div><div> SAref kernel support                                       <span class="" style="white-space:pre">       </span>[N/A]</div><div> NETKEY:  Testing for disabled ICMP send_redirects          <span class="" style="white-space:pre">   </span>[OK]</div><div>NETKEY detected, testing for disabled ICMP accept_redirects <span class="" style="white-space:pre">   </span>[OK]</div><div>Testing against enforced SElinux mode                       <span class="" style="white-space:pre">        </span>[OK]</div><div>Checking that pluto is running                              <span class="" style="white-space:pre">    </span>[OK]</div><div> Pluto listening for IKE on udp 500                         <span class="" style="white-space:pre">      </span>[OK]</div><div> Pluto listening for NAT-T on udp 4500                      <span class="" style="white-space:pre">       </span>[OK]</div><div>Two or more interfaces found, checking IP forwarding        <span class="" style="white-space:pre">       </span>[OK]</div><div>Checking NAT and MASQUERADEing                              <span class="" style="white-space:pre">    </span>[OK]</div><div>Checking for 'ip' command                                   <span class="" style="white-space:pre">  </span>[OK]</div><div>Checking /bin/sh is not /bin/dash                           <span class="" style="white-space:pre">      </span>[OK]</div><div>Checking for 'iptables' command                             <span class="" style="white-space:pre">     </span>[OK]</div><div>Opportunistic Encryption Support                            <span class="" style="white-space:pre">     </span>[DISABLED]</div></div><div style><br></div><div style><br></div><div style><b>Remote Server</b></div><div style>Here are the connection details of the remote connection i've been given:</div><div style>Remote IP: y.y.y.y</div><div style>Internal IP: z.z.z.z</div><div style><br></div><div style><i>Phase 1:</i></div><div style>Cipher: AES-256</div><div style>MD Algorithm: SHA1</div><div style>LifeTime: 86400sec</div><div style>DH Group: 2</div><div style>IKE Mode: Main</div><div style>Auth Mode: PSK</div><div style><br></div><div style><i>Phase 2:</i></div><div style>IPSec Type: ESP</div><div style>Cipher: AES-256</div><div style>MD Algorithm: SHA1</div><div style>PFS: NO</div><div style>LifeTime: 3600seconds</div><div style>Granularity: Host</div><div style><br></div><div style><br></div><div style><b>My Config</b></div><div style><div>conn tj-vpn</div><div>        type=tunnel</div><div>        auth=esp</div><div>        authby=secret</div><div>        ikelifetime=86400m</div><div>        rekeymargin=10m</div><div>        rekeyfuzz=0%</div><div>        keylife=3600s</div><div>        esp=aes256-sha1</div><div>        ike=aes256-sha1</div><div>        keyexchange=ike</div><div>        pfs=no</div><div>        left=x.x.x.x</div><div>        leftsubnet=<a href="http://10.0.0.0/16">10.0.0.0/16</a></div><div>        leftnexthop=%defaultroute</div><div>        right=y.y.y.y<br></div><div>        rightsubnet=z.z.z.z/32</div><div>        auto=start<br></div><div><br></div><div style>Startup shows the following:</div><div style><br></div><div style><div># ipsec auto --up tj-vpn<br></div><div>104 "tj-vpn" #2: STATE_MAIN_I1: initiate</div><div>003 "tj-vpn" #2: received Vendor ID payload [RFC 3947] method set to=109</div><div>003 "tj-vpn" #2: ignoring Vendor ID payload [FRAGMENTATION c0000000]</div><div>003 "tj-vpn" #2: peer requested 5184000 seconds which exceeds our limit 86400 seconds.  Attribute OAKLEY_LIFE_DURATION (variable length)</div><div>003 "tj-vpn" #2: no acceptable Oakley Transform</div><div>214 "tj-vpn" #2: STATE_MAIN_I1: NO_PROPOSAL_CHOSEN</div><div style><b><i>JUST HANGS THERE</i></b></div><div style><b><i><br></i></b></div><div style><div># ipsec --status</div><div>000 using kernel interface: netkey</div><div>000 interface lo/lo ::1</div><div>000 interface lo/lo 127.0.0.1</div><div>000 interface lo/lo 127.0.0.1</div><div>000 interface eth0/eth0 x.x.x.x</div><div>000 interface eth0/eth0 x.x.x.x</div><div>000 interface eth1/eth1 10.0.64.150</div><div>000 interface eth1/eth1 10.0.64.150</div><div>000 %myid = (none)</div><div>000 debug none</div><div>000</div><div>000 virtual_private (%priv):</div><div>000 - allowed 0 subnets:</div><div>000 - disallowed 0 subnets:</div><div>000 WARNING: Either virtual_private= is not specified, or there is a syntax</div><div>000          error in that line. 'left/rightsubnet=vhost:%priv' will not work!</div><div>000 WARNING: Disallowed subnets in virtual_private= is empty. If you have</div><div>000          private address space in internal use, it should be excluded!</div><div>000</div><div>000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192</div><div>000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=128, keysizemax=128</div><div>000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448</div><div>000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0</div><div>000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=12, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=16, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=12, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=16, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=22, name=(null), ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128</div><div>000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160</div><div>000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256</div><div>000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384</div><div>000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512</div><div>000 algorithm ESP auth attr: id=8, name=(null), keysizemin=160, keysizemax=160</div><div>000 algorithm ESP auth attr: id=9, name=(null), keysizemin=128, keysizemax=128</div><div>000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0</div><div>000</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128</div><div>000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192</div><div>000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128</div><div>000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16</div><div>000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20</div><div>000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32</div><div>000 algorithm IKE hash: id=5, name=OAKLEY_SHA2_384, hashsize=48</div><div>000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64</div><div>000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024</div><div>000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536</div><div>000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048</div><div>000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072</div><div>000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096</div><div>000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144</div><div>000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192</div><div>000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024</div><div>000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048</div><div>000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048</div><div>000</div><div>000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,64} trans={0,2,3072} attrs={0,2,2048}</div><div>000</div><div>000 "tj-vpn": <a href="http://10.0.0.0/16===x.x.x.x">10.0.0.0/16===x.x.x.x</a><x.x.x.x>[+S=C]...y.y.y.y<y.y.y.y>[+S=C]===z.z.z.z/32; prospective erouted; eroute owner: #0</div><div>000 "tj-vpn":     myip=unset; hisip=unset;</div><div>000 "tj-vpn":   ike_life: 5184000s; ipsec_life: 3600s; rekey_margin: 600s; rekey_fuzz: 0%; keyingtries: 0; nat_keepalive: yes</div><div>000 "tj-vpn":   policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 16,32; interface: eth0;</div><div>000 "tj-vpn":   newest ISAKMP SA: #0; newest IPsec SA: #0;</div><div>000 "tj-vpn":   IKE algorithms wanted: AES_CBC(7)_256-SHA1(2)_000-MODP1536(5), AES_CBC(7)_256-SHA1(2)_000-MODP1024(2)</div><div>000 "tj-vpn":   IKE algorithms found:  AES_CBC(7)_256-SHA1(2)_160-MODP1536(5), AES_CBC(7)_256-SHA1(2)_160-MODP1024(2)</div><div>000 "tj-vpn":   ESP algorithms wanted: AES(12)_256-SHA1(2)_000</div><div>000 "tj-vpn":   ESP algorithms loaded: AES(12)_256-SHA1(2)_160</div><div>000</div><div>000 #2: "tj-vpn":500 STATE_MAIN_I1 (sent MI1, expecting MR1); none in -1s; nodpd; idle; import:admin initiate</div><div>000 #2: pending Phase 2 for "tj-vpn" replacing #0</div><div>000</div><div><br></div><div><div># cat ipsec.secrets</div><div>x.x.x.x y.y.y.y: PSK "PSKGOESHERE"</div></div><div><br></div><div style>Anyone have any ideas what i'm doing wrong? I'd appreciate all assistance. Thanks so much in advance!</div><div style><br></div><div style>Cheers</div><div style>Ian</div><div><br></div></div><div><br></div><div><br></div><div><br></div></div></div></div>