<html><body><div>Prakesh.</div><div><br></div><div>I'm glad you've got this working.... It appears to be a common issue with Cisco's, i.e. it doesn't work from cisco to non cisco device..  I've found that the best way to get Cisco/ASA <--> OpenSwan stuff working is to just specify the standard left/right hand side networks and leave OpenSwan to auto-negotiate and connect to the Cisco kit based on what the cisco allows.  I had a very similar problem with the Amazon VPN devices and inter-op with pfSense (BSD + StrongSwan)  and Amazon stuff which isn't specifically cisco, but they don't tell you exactly what it is... anyhow after a lot of headaches i was speaking to the Cisco/network guy at our third party and he suggested we went with 3des-md3 and 'it worked' - despite us trying sha1-aes128/aes256.</div><div><br></div><div>ttfn</div><div><br>On Sep 02, 2015, at 01:22 PM, Prakash Palanisamy <ppalanisamy@sdl.com> wrote:<br><br></div><div><div><blockquote type="cite"><div class="msg-quote" lang="EN-US"><div class="WordSection1"><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Thanks a lot Daniel, that did the trick.</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Interestingly it works only when we comment out or remove ike & phase2alg from the config file, it doesn’t work even if we specify “3des-md5;modp1536”</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Regards,</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Prakash</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><div><br></div></div><br>  <a><img src="http://dr0muzwhcp26z.cloudfront.net/static/corporate/SDL-logo-2014.png" alt="" width="150" height="68" data-mce-src="http://dr0muzwhcp26z.cloudfront.net/static/corporate/SDL-logo-2014.png"></a><br> <a href="http://www.sdl.com" data-mce-href="http://www.sdl.com">http://www.sdl.com</a> <br> <br><div class="WordSection1"><div><br></div></div><br><table class="ImprintUniqueIDTable mceItemTable" style="border-collapse: collapse" border="0" cellspacing="0" cellpadding="0" data-mce-style="border-collapse: collapse;"><tbody><tr><td width="800"><span data-mce-style="color: #a1a1a1; font-size: 8pt;" style="color: #a1a1a1; font-size: 8pt;" size="+0">SDL PLC confidential, all rights reserved. If you are not the intended recipient of this mail SDL requests and requires that you delete it without acting upon or copying any of its contents, and we further request that you advise us.<br> <br> SDL PLC is a public limited company registered in England and Wales. Registered number: 02675207. <br> Registered address: Globe House, Clivemont Road, Maidenhead, Berkshire SL6 7DY, UK. </span></td></tr></tbody></table><br><div class="WordSection1"><div><div style="border: none ; border-top: solid #e1e1e1 1.0pt ; padding: 3.0pt 0in 0in 0in" data-mce-style="border: none; border-top: solid #e1e1e1 1.0pt; padding: 3.0pt 0in 0in 0in;"><p class="MsoNormal"><strong><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif;">From:</span></strong><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif;"> Daniel Cave [mailto:dan.cave@me.com] <br> <strong>Sent:</strong> Tuesday, September 1, 2015 6:45 PM<br> <strong>To:</strong> Prakash Palanisamy <ppalanisamy@sdl.com><br> <strong>Cc:</strong> <a href="mailto:users@lists.openswan.org" data-mce-href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><br> <strong>Subject:</strong> Re: [Openswan Users] Connection is getting reset every few seconds</span></p></div></div><p class="MsoNormal"> </p><div><p class="MsoNormal">Prakesh,</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">What happens when you set both sides of the Ipsec (asa and OpenSwan ) to use 3des-md5 ?  i noticed you had the same compatibility problems with AES-Sha256 that I did..  Your start up logs are telling you that on the OpenSwan server..</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal"> It seems the ASA does not like the OpenSwan proposal for AES(256)-SHA.. if you comment out the phase 1&2 specific negotiation on the OpenSwan side, restart that, then re-configure the ASA to use 3des-md5 - i believe it should work - as this is what we're using.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Hope that helps.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">d.</p></div><div><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;">On Aug 27, 2015, at 03:44 PM, Prakash Palanisamy <ppalanisamy@sdl.com> wrote:</p></div><div><div><blockquote style="margin-top: 5.0pt ; margin-bottom: 5.0pt" data-mce-style="margin-top: 5.0pt; margin-bottom: 5.0pt;"><div><div><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Hi Daniel,</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Please find below the complete details. Will it be something to do with different DPD timeout configuration at both the ends?</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Configuration details at ASA:</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">No Nat and Access-list :</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">access-list inside_nat0_outbound extended permit ip 10.100.0.0 255.255.0.0 172.21.8.0 255.255.255.0</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">access-list Outside_cryptomap_120 extended permit ip 10.100.0.0 255.255.0.0 172.21.8.0 255.255.255.0</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Phase 1 ( any one of the policy will be picked up, here for aws tunnel the phase 1 policy is 60 ) :</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto isakmp policy 10</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">authentication pre-share</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">encryption 3des</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">hash sha</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">group 2</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">lifetime 86400</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto isakmp policy 20</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">authentication pre-share</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">encryption 3des</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">hash md5</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">group 2</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">lifetime 86400</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto isakmp policy 30</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">authentication pre-share</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">encryption aes</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">hash sha</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">group 2</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">lifetime 86400</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto isakmp policy 40</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">authentication pre-share</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">encryption aes</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">hash sha</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">group 2</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">lifetime 28800</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto isakmp policy 50</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">authentication pre-share</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">encryption aes-256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">hash sha</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">group 2</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">lifetime 28800</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto isakmp policy 60</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">authentication pre-share</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">encryption aes-256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">hash sha</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">group 5</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">lifetime 28800</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Crypto and PHase 2 :</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto map Outside_map 120 match address Outside_cryptomap_120</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto map Outside_map 120 set pfs</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto map Outside_map 120 set peer 52.17.237.123</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto map Outside_map 120 set transform-set ESP-AES-256-SHA</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto map Outside_map 120 set security-association lifetime seconds 3600</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">tunnel-group 52.17.237.123 type ipsec-l2l</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">tunnel-group 52.17.237.123 ipsec-attributes</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">pre-shared-key ********</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Transform set :</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Configuration at OpenSwan:</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">config setup</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        protostack=netkey</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        nat_traversal=no</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">conn Connection1 # Connection Name</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">       type=tunnel</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        authby=secret</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        auto=start</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        pfs=yes</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        ike=aes256-sha1;modp1536!</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        phase2alg=aes256-sha1;modp1536</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        ikelifetime=28800s</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        salifetime=3600s</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        left=%defaultroute</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        leftid=52.17.237.123</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        leftsubnets={172.21.8.0/24}</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        right=87.213.46.220</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">        rightsubnets={10.100.0.0/16}</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">ipsec status:</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 using kernel interface: netkey</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 interface lo/lo ::1</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 interface lo/lo 127.0.0.1</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 interface eth0/eth0 172.21.8.61</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 %myid = (none)</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 debug none</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 virtual_private (%priv):</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 - allowed 0 subnets:</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 - disallowed 0 subnets:</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 WARNING: Either virtual_private= is not specified, or there is a syntax</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000          error in that line. 'left/rightsubnet=vhost:%priv' will not work!</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 WARNING: Disallowed subnets in virtual_private= is empty. If you have</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000          private address space in internal use, it should be excluded!</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, keysizemax=288</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm ESP auth attr: id=251, name=AUTH_ALGORITHM_NULL_KAME, keysizemin=0, keysizemax=0</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,3,64} trans={0,3,3072} attrs={0,3,2048}</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1": 172.21.8.0/24===172.21.8.61[52.17.237.123]...87.213.46.220<87.213.46.220>===10.100.0.0/16; erouted; eroute owner: #4</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":     myip=unset; hisip=unset;</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,16; interface: eth0;</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   newest ISAKMP SA: #3; newest IPsec SA: #4;</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   aliases: Connection1</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   IKE algorithms wanted: AES_CBC(7)_256-SHA1(2)_000-MODP1536(5); flags=strict</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   IKE algorithms found:  AES_CBC(7)_256-SHA1(2)_160-MODP1536(5)</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   IKE algorithm newest: AES_CBC_256-SHA1-MODP1536</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   ESP algorithms wanted: AES(12)_256-SHA1(2)_000; pfsgroup=MODP1536(5); flags=-strict</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   ESP algorithms loaded: AES(12)_256-SHA1(2)_160</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 "Connection1/1x1":   ESP algorithm newest: AES_256-HMAC_SHA1; pfsgroup=MODP1536</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 #5: "Connection1/1x1":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 18s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 #4: "Connection1/1x1":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 3252s; newest IPSEC; eroute owner; isakmp#3; idle; import:not set</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 #4: "Connection1/1x1" <a href="mailto:esp.70598aa@87.213.46.220" data-mce-href="mailto:esp.70598aa@87.213.46.220">esp.70598aa@87.213.46.220</a> <a href="mailto:esp.6fd8d5cc@172.21.8.61" data-mce-href="mailto:esp.6fd8d5cc@172.21.8.61"> esp.6fd8d5cc@172.21.8.61</a> <a href="mailto:tun.0@87.213.46.220" data-mce-href="mailto:tun.0@87.213.46.220">tun.0@87.213.46.220</a> <a href="mailto:tun.0@172.21.8.61" data-mce-href="mailto:tun.0@172.21.8.61">tun.0@172.21.8.61</a> ref=0 refhim=4294901761</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">000 #3: "Connection1/1x1":500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 28452s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Thanks,</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;">Prakash</span></p><p class="MsoNormal"><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif ; color: #2f5496" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif; color: #2f5496;"> </span></p><div><p class="MsoNormal"> </p></div></div><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;"><br>  <span style="border: solid 1.0pt ; padding: 0in" data-mce-style="border: solid 1.0pt; padding: 0in;"><img id="_x0000_i1027" src="cid:29704983-9452-4272-b0bd-3a985f4f2221@icloud.com"                                                                                                                                   border="0" alt="Image removed by sender." width="150" height="68" data-inline-image="true" data-mce-src="cid:29704983-9452-4272-b0bd-3a985f4f2221@icloud.com"                                                                                                                                  ></span><br> <a href="http://www.sdl.com" data-mce-href="http://www.sdl.com">http://www.sdl.com</a></p><div><div><p class="MsoNormal"> </p></div></div><p class="MsoNormal"> </p><table class="MsoNormalTable mceItemTable" style="border-collapse: collapse" border="0" cellspacing="0" cellpadding="0" data-mce-style="border-collapse: collapse;"><tbody><tr><td style="width: 600.0pt ; padding: 0in 0in 0in 0in" width="800" data-mce-style="width: 600.0pt; padding: 0in 0in 0in 0in;"><p class="MsoNormal"><span style="font-size: 8.0pt ; color: #a1a1a1" data-mce-style="font-size: 8.0pt; color: #a1a1a1;">SDL PLC confidential, all rights reserved. If you are not the intended recipient of this mail SDL requests and requires that you delete it without acting upon or copying any of its contents, and we further request that you advise us.<br> <br> SDL PLC is a public limited company registered in England and Wales. Registered number: 02675207. <br> Registered address: Globe House, Clivemont Road, Maidenhead, Berkshire SL6 7DY, UK. </span></p></td></tr></tbody></table><p class="MsoNormal"> </p><div><div><div style="border: none ; border-top: solid #e1e1e1 1.0pt ; padding: 3.0pt 0in 0in 0in" data-mce-style="border: none; border-top: solid #e1e1e1 1.0pt; padding: 3.0pt 0in 0in 0in;"><p class="MsoNormal"><strong><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif;">From:</span></strong><span style="font-size: 11.0pt ; font-family: "calibri" , sans-serif" data-mce-style="font-size: 11.0pt; font-family: 'calibri' , sans-serif;"> Daniel Cave [mailto:dan.cave@me.com] <br> <strong><span style="font-family: "calibri" , sans-serif" data-mce-style="font-family: 'calibri' , sans-serif;">Sent:</span></strong> Thursday, August 27, 2015 3:50 PM<br> <strong><span style="font-family: "calibri" , sans-serif" data-mce-style="font-family: 'calibri' , sans-serif;">To:</span></strong> Prakash Palanisamy <ppalanisamy@sdl.com><br> <strong><span style="font-family: "calibri" , sans-serif" data-mce-style="font-family: 'calibri' , sans-serif;">Cc:</span></strong> <a href="mailto:users@lists.openswan.org" data-mce-href="mailto:users@lists.openswan.org"> users@lists.openswan.org</a><br> <strong><span style="font-family: "calibri" , sans-serif" data-mce-style="font-family: 'calibri' , sans-serif;">Subject:</span></strong> Re: [Openswan Users] Connection is getting reset every few seconds</span></p></div></div><p class="MsoNormal"> </p><div><p class="MsoNormal">Hi Prakash, I think you misunderstood me (as I didn't make myself very clear)</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">I think the issues you're getting are configuration related  at either side and not related to the EC2 instance specifically.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Can you post your config file from both sizes, it looks like - from your logs that Phase1/2 are not negotiating correctly and there's some kind of mismatch in timings .</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">Where im working, we have setup an EC2 instance, t2.small to a client in the USA, on a Cisco ASA 5510.. 3des-md5.. the tunnel has been up for months.. we're using the same version of OpenSwan/racoon that you are.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">What I did originally was to remove any options to set phase1/2 algorithms and commented them out in my config until i got a working config on the openswan side.</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">if you run 'ipsec auto status' what do you see ?</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">it should look *something* like this </p></div><div><p class="MsoNormal"> </p></div><div><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;"># ipsec auto status</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">ipsec auto: warning: obsolete command syntax used</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 using kernel interface: netkey</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface lo/lo ::1</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface lo/lo 127.0.0.1</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface lo/lo 127.0.0.1</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface eth0/eth0 172.11.44.240</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface eth0/eth0 172.11.44.240</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface tun0/tun0 10.8.0.1</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 interface tun0/tun0 10.8.0.1</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 %myid = (none)</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 debug none</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 virtual_private (%priv):</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 - allowed 0 subnets: </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 - disallowed 0 subnets: </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 WARNING: Either virtual_private= is not specified, or there is a syntax </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000          error in that line. 'left/rightsubnet=vhost:%priv' will not work!</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 WARNING: Disallowed subnets in virtual_private= is empty. If you have </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000          private address space in internal use, it should be excluded!</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=40, keysizemax=128</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=160, keysizemax=288</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm ESP auth attr: id=251, name=AUTH_ALGORITHM_NULL_KAME, keysizemin=0, keysizemax=0</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,11,64} trans={0,11,3072} attrs={0,11,2048} </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1": 172.11.44.0/16===172.11.44.240[52.x.x.x]...172.11.44.1---72.11.62.33<72.11.62.33>===192.168.30.0/24; erouted; eroute owner: #171</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":     myip=172.11.44.240; hisip=unset;</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   ike_life: 86400s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0 </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 16,24; interface: eth0; </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   newest ISAKMP SA: #169; newest IPsec SA: #171; </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   aliases: idc-dr </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1536(5), 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=-strict</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   IKE algorithms found:  3DES_CBC(5)_192-MD5(1)_128-MODP1536(5)3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   ESP algorithms wanted: 3DES(3)_000-MD5(1)_000; flags=-strict</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   ESP algorithms loaded: 3DES(3)_192-MD5(1)_128</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 "idc-dr/1x1":   ESP algorithm newest: 3DES_000-HMAC_MD5; pfsgroup=<N/A></span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 #171: "idc-dr/1x1":4500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 24593s; newest IPSEC; eroute owner; isakmp#169; idle; import:not set</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 #171: "idc-dr/1x1" <a href="mailto:esp.ace0ffe6@72.11.62.33" data-mce-href="mailto:esp.ace0ffe6@72.11.62.33">esp.ace0ffe6@72.11.62.33</a> <a href="mailto:esp.7cc12623@172.11.44.240" data-mce-href="mailto:esp.7cc12623@172.11.44.240"> esp.7cc12623@172.11.44.240</a> <a href="mailto:tun.0@72.11.62.33" data-mce-href="mailto:tun.0@72.11.62.33">tun.0@72.11.62.33</a> <a href="mailto:tun.0@172.11.44.240" data-mce-href="mailto:tun.0@172.11.44.240">tun.0@172.11.44.240</a> ref=0 refhim=4294901761</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000 #169: "idc-dr/1x1":4500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 45423s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:not set</span></p><p style="margin: 0in ; margin-bottom: 0.0001pt ; background: #fff7ab" data-mce-style="margin: 0in; margin-bottom: 0.0001pt; background: #fff7ab;"><span style="font-size: 9.0pt" data-mce-style="font-size: 9.0pt;">000  </span></p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal">start off by posting the configs from both sides (ipsec.conf / cisco asa) and check your phase 1/2 key times</p></div><div><p class="MsoNormal"> </p></div><div><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;">On Aug 27, 2015, at 10:14 AM, Prakash Palanisamy <ppalanisamy@sdl.com> wrote:</p></div><div><div><blockquote style="margin-top: 5.0pt ; margin-bottom: 5.0pt" data-mce-style="margin-top: 5.0pt; margin-bottom: 5.0pt;"><div><div><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Hi Daniel,</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Thanks for your input. I tried different instance types, even with m4.2xlarge which got High Network performance & Enhanced Networking I could see the connection is getting reset after 90 seconds.</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Thanks,</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Prakash</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><div><p class="MsoNormal"> </p></div></div><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;"><br>  <span style="border: solid 1.0pt ; padding: 0in" data-mce-style="border: solid 1.0pt; padding: 0in;"><img id="_x0000_i1026" src="cid:12abd597-2a48-45ac-91fd-3872e224473b@icloud.com"                                                                                                                                   border="0" alt="Image removed by sender." width="150" height="68" data-inline-image="true" data-mce-src="cid:12abd597-2a48-45ac-91fd-3872e224473b@icloud.com"                                                                                                                                  ></span><br> <a href="http://www.sdl.com" data-mce-href="http://www.sdl.com">http://www.sdl.com</a></p><div><div><p class="MsoNormal"> </p></div></div><p class="MsoNormal"> </p><table class="MsoNormalTable mceItemTable" style="border-collapse: collapse" border="0" cellspacing="0" cellpadding="0" data-mce-style="border-collapse: collapse;"><tbody><tr><td style="width: 600.0pt ; padding: 0in 0in 0in 0in" width="800" data-mce-style="width: 600.0pt; padding: 0in 0in 0in 0in;"><p class="MsoNormal"><span style="font-size: 8.0pt ; color: #a1a1a1" data-mce-style="font-size: 8.0pt; color: #a1a1a1;">SDL PLC confidential, all rights reserved. If you are not the intended recipient of this mail SDL requests and requires that you delete it without acting upon or copying any of its contents, and we further request that you advise us.<br> <br> SDL PLC is a public limited company registered in England and Wales. Registered number: 02675207. <br> Registered address: Globe House, Clivemont Road, Maidenhead, Berkshire SL6 7DY, UK. </span></p></td></tr></tbody></table><p class="MsoNormal"> </p><div><div><div style="border: none ; border-top: solid #e1e1e1 1.0pt ; padding: 3.0pt 0in 0in 0in" data-mce-style="border: none; border-top: solid #e1e1e1 1.0pt; padding: 3.0pt 0in 0in 0in;"><p class="MsoNormal"><strong>From:</strong> Daniel Cave [mailto:dan.cave@me.com] <br> <strong>Sent:</strong> Wednesday, August 26, 2015 10:36 PM<br> <strong>To:</strong> Prakash Palanisamy <ppalanisamy@sdl.com><br> <strong>Cc:</strong> <a href="mailto:users@lists.openswan.org" data-mce-href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><br> <strong>Subject:</strong> Re: [Openswan Users] Connection is getting reset every few seconds</p></div></div><p class="MsoNormal"> </p><div><p class="MsoNormal">If you search the archives I had a similar problem about four months ago with an Asa except my instance in aws was too small for the volume of traffic I was using it for and my openSwan tunnel kept collapsing randomly. </p></div><div><p class="MsoNormal"><br> Sent from my iPhone</p></div><div><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;"><br> On 26 Aug 2015, at 18:22, Prakash Palanisamy <<a href="mailto:ppalanisamy@sdl.com" data-mce-href="mailto:ppalanisamy@sdl.com">ppalanisamy@sdl.com</a>> wrote:</p></div><blockquote style="margin-top: 5.0pt ; margin-bottom: 5.0pt" data-mce-style="margin-top: 5.0pt; margin-bottom: 5.0pt;"><div><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">I have modified the config to set “rekey=no” based on feedback from lots of other threads, but this doesn’t help. I have requested for details at ASA to check the renegotiation policy at the other end.</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">What would be the other possible reasons for continuous reset?</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Thanks,</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Prakash</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;"><br>  <span style="border: solid 1.0pt ; padding: 0in" data-mce-style="border: solid 1.0pt; padding: 0in;"><img id="_x0000_i1025" src="cid:12abd597-2a48-45ac-91fd-3872e224473b@icloud.com"                                                                                                                                   border="0" alt="Image removed by sender." width="150" height="68" data-inline-image="true" data-mce-src="cid:12abd597-2a48-45ac-91fd-3872e224473b@icloud.com"                                                                                                                                  ></span><br> <a href="http://www.sdl.com" data-mce-href="http://www.sdl.com">www.sdl.com</a></p><table class="MsoNormalTable mceItemTable" style="border-collapse: collapse" border="0" cellspacing="0" cellpadding="0" data-mce-style="border-collapse: collapse;"><tbody><tr><td style="padding: 0in 0in 0in 0in" data-mce-style="padding: 0in 0in 0in 0in;"><p class="MsoNormal"> </p></td></tr></tbody></table><p class="MsoNormal"> </p><table class="MsoNormalTable mceItemTable" style="border-collapse: collapse" border="0" cellspacing="0" cellpadding="0" data-mce-style="border-collapse: collapse;"><tbody><tr><td style="padding: 0in 0in 0in 0in" data-mce-style="padding: 0in 0in 0in 0in;"><p class="MsoNormal"> </p></td></tr></tbody></table><p class="MsoNormal"> </p><table class="MsoNormalTable mceItemTable" style="border-collapse: collapse" border="0" cellspacing="0" cellpadding="0" data-mce-style="border-collapse: collapse;"><tbody><tr><td style="width: 600.0pt ; padding: 0in 0in 0in 0in" width="800" data-mce-style="width: 600.0pt; padding: 0in 0in 0in 0in;"><p class="MsoNormal"><span style="font-size: 8.0pt ; color: #a1a1a1" data-mce-style="font-size: 8.0pt; color: #a1a1a1;">SDL PLC confidential, all rights reserved. If you are not the intended recipient of this mail SDL requests and requires that you delete it without acting upon or copying any of its contents, and we further request that you advise us.<br> <br> SDL PLC is a public limited company registered in England and Wales. Registered number: 02675207. <br> Registered address: Globe House, Clivemont Road, Maidenhead, Berkshire SL6 7DY, UK. </span></p></td></tr></tbody></table><p class="MsoNormal"> </p><div><div style="border: none ; border-top: solid #e1e1e1 1.0pt ; padding: 3.0pt 0in 0in 0in" data-mce-style="border: none; border-top: solid #e1e1e1 1.0pt; padding: 3.0pt 0in 0in 0in;"><p class="MsoNormal"><strong>From:</strong> Prakash Palanisamy <br> <strong>Sent:</strong> Monday, August 24, 2015 4:54 PM<br> <strong>To:</strong> '<a href="mailto:users@lists.openswan.org" data-mce-href="mailto:users@lists.openswan.org">users@lists.openswan.org</a>' <<a href="mailto:users@lists.openswan.org" data-mce-href="mailto:users@lists.openswan.org">users@lists.openswan.org</a>><br> <strong>Subject:</strong> Connection is getting reset every few seconds</p></div></div><p class="MsoNormal"> </p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">VPN connection between Linux Openswan U2.6.38 (Ubuntu EC2 instance in VPC with EIP) & Cisco ASA 5510 is getting reset every few seconds. Earlier today with the help of the community I solved the another problem with “pending phase 2” issue and after that we see that the connection is being very flaky.</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Other details about the setup can be found in my previous thread - <a href="https://lists.openswan.org/pipermail/users/2015-August/023391.html" data-mce-href="https://lists.openswan.org/pipermail/users/2015-August/023391.html">https://lists.openswan.org/pipermail/users/2015-August/023391.html</a> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><strong><span style="color: #2f5496" data-mce-style="color: #2f5496;">Auth logs:</span></strong></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: initiating Main Mode</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: ignoring Vendor ID payload [Cisco IKE Fragmentation]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: STATE_MAIN_I2: sent MI2, expecting MR2</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: received Vendor ID payload [Cisco-Unity]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: received Vendor ID payload [XAUTH]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: ignoring unknown Vendor ID payload [ec43b53de4bd9e2ec73fcf4ea211143f]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: ignoring Vendor ID payload [Cisco VPN 3000 Series]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: STATE_MAIN_I3: sent MI3, expecting MR3</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: received Vendor ID payload [Dead Peer Detection]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: Main mode peer ID is ID_FQDN: '@Connection1-ASA.global.sdl.corp'</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_256 prf=oakley_sha group=modp1536}</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK {using isakmp#1 msgid:b9dab225 proposal=AES(12)_256-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1536}</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: ignoring informational payload, type NO_PROPOSAL_CHOSEN msgid=00000000</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: received and ignored informational message</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: "Connection1/1x1" #1: received Delete SA payload: deleting ISAKMP State #1</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:52 gateway3 pluto[31154]: packet from 87.213.46.220:500: received and ignored informational message</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: packet from 87.213.46.220:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but port floating is off</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: packet from 87.213.46.220:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but port floating is off</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: packet from 87.213.46.220:500: received Vendor ID payload [RFC 3947] meth=115, but port floating is off</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: packet from 87.213.46.220:500: ignoring Vendor ID payload [Cisco IKE Fragmentation]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: responding to Main Mode</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: Oakley Transform [OAKLEY_3DES_CBC (192), OAKLEY_SHA1, OAKLEY_GROUP_MODP1024] refused due to strict flag</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: Oakley Transform [OAKLEY_3DES_CBC (192), OAKLEY_MD5, OAKLEY_GROUP_MODP1024] refused due to strict flag</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: Oakley Transform [OAKLEY_AES_CBC (128), OAKLEY_SHA1, OAKLEY_GROUP_MODP1024] refused due to strict flag</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: Oakley Transform [OAKLEY_AES_CBC (128), OAKLEY_SHA1, OAKLEY_GROUP_MODP1024] refused due to strict flag</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: Oakley Transform [OAKLEY_AES_CBC (256), OAKLEY_SHA1, OAKLEY_GROUP_MODP1024] refused due to strict flag</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: STATE_MAIN_R1: sent MR1, expecting MI2</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: received Vendor ID payload [Cisco-Unity]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: received Vendor ID payload [XAUTH]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: ignoring unknown Vendor ID payload [f7d4c0744bc4c632afa9ec7e85bf857b]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: ignoring Vendor ID payload [Cisco VPN 3000 Series]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: STATE_MAIN_R2: sent MR2, expecting MI3</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: received Vendor ID payload [Dead Peer Detection]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: Main mode peer ID is ID_FQDN: '@Connection1-ASA.global.sdl.corp'</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_256 prf=oakley_sha group=modp1536}</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #3: the peer proposed: 172.21.8.0/24:0/0 -> 10.100.0.0/16:0/0</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4: responding to Quick Mode proposal {msgid:b23b46bc}</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4:     us: 172.21.8.0/24===172.21.8.43[52.17.237.123]</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4:   them: 87.213.46.220<87.213.46.220>[@Connection1-ASA.global.sdl.corp]===10.100.0.0/16</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Aug 24 13:35:58 gateway3 pluto[31154]: "Connection1/1x1" #4: STATE_QUICK_R2: IPsec SA established tunnel mode {ESP=>0x22ef875d <0x409dd686 xfrm=AES_256-HMAC_SHA1 NATOA=none NATD=none DPD=none}</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;"> </span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Thanks,</span></p><p class="MsoNormal"><span style="color: #2f5496" data-mce-style="color: #2f5496;">Prakash</span></p><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;"> </p><p style="text-align: center" data-mce-style="text-align: center;"><span style="background: white" data-mce-style="background: white;">This message has been scanned for malware by Websense. </span><a href="http://www.websense.com/" data-mce-href="http://www.websense.com/"><span style="color: black ; background: white" data-mce-style="color: black; background: white;">www.websense.com</span></a></p></div></blockquote><blockquote style="margin-top: 5.0pt ; margin-bottom: 5.0pt" data-mce-style="margin-top: 5.0pt; margin-bottom: 5.0pt;"><div><p class="MsoNormal">_______________________________________________<br> <a href="mailto:Users@lists.openswan.org" data-mce-href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a><br> <a href="https://lists.openswan.org/mailman/listinfo/users" data-mce-href="https://lists.openswan.org/mailman/listinfo/users">https://lists.openswan.org/mailman/listinfo/users</a><br> Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" data-mce-href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy"> https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br> Building and Integrating Virtual Private Networks with Openswan:<br> <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" data-mce-href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a></p></div></blockquote><p class="MsoNormal" style="margin-bottom: 12.0pt" data-mce-style="margin-bottom: 12.0pt;"><span style="background: white" data-mce-style="background: white;"> </span></p><p style="text-align: center" data-mce-style="text-align: center;"><span style="background: white" data-mce-style="background: white;">Click <a href="https://www.mailcontrol.com/sr/d9CXhEllK63GX2PQPOmvUnS2K3gDJIy6lzRXt7oNsiicPNUt9nJV030BY+HvHblPiMAdEB7HuPeCTIJSz5pNWQ==" data-mce-href="https://www.mailcontrol.com/sr/d9CXhEllK63GX2PQPOmvUnS2K3gDJIy6lzRXt7oNsiicPNUt9nJV030BY+HvHblPiMAdEB7HuPeCTIJSz5pNWQ=="> here</a> to report this email as spam.</span></p></div></div></blockquote></div></div></div></div></blockquote></div></div></div></div></blockquote></div></div><style class="_message-styles">.msg-quote p.imprintuniqueid {margin: 0cm 0cm 0pt;}
.msg-quote li.imprintuniqueid {margin: 0cm 0cm 0pt;}
.msg-quote div.imprintuniqueid {margin: 0cm 0cm 0pt;}
.msg-quote table.imprintuniqueidtable {margin: 0cm 0cm 0pt;}
.msg-quote div.section1 {page: Section1;}
.msg-quote p.imprintuniqueid {margin: 0cm 0cm 0pt;}
.msg-quote li.imprintuniqueid {margin: 0cm 0cm 0pt;}
.msg-quote div.imprintuniqueid {margin: 0cm 0cm 0pt;}
.msg-quote table.imprintuniqueidtable {margin: 0cm 0cm 0pt;}
.msg-quote div.section1 {page: Section1;}
.msg-quote .shape {}
</style></body></html>