<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-GB" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi List,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’ve got a OpenSWAN instance connected to a StrongSWAN instance which is successful in connecting and transferring packets of the VPN.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">The issue I appear to have is that we have a number of odd log entries within the log that I don’t fully understand and am unable to figure out.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Jun 16 13:20:23 vpn-server pluto[23491]: "vpn1/14x0" #10397: max number of retransmissions (2) reached STATE_QUICK_I1.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal<o:p></o:p></p>
<p class="MsoNormal">Jun 16 13:20:23 vpn-server pluto[23491]: "vpn1/14x0" #10397: starting keying attempt 448 of an unlimited number<o:p></o:p></p>
<p class="MsoNormal">Jun 16 13:20:23 vpn-server pluto[23491]: "vpn1/14x0" #10425: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK to replace #10397 {using isakmp#9175 msgid:8f16f1db proposal=AES(12)_256-SHA2_256(5)_256 pfsgroup=OAKLEY_GROUP_MODP2048}<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I’ve attached my configuration of my end and the remote end to see if anyone is able to stop any obvious issues!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">############################### OpenSwan ###########################################<o:p></o:p></p>
<p class="MsoNormal">conn vpn1<o:p></o:p></p>
<p class="MsoNormal">        authby=         secret<o:p></o:p></p>
<p class="MsoNormal">        auto=           start<o:p></o:p></p>
<p class="MsoNormal">        type=           tunnel<o:p></o:p></p>
<p class="MsoNormal">        nat_traversal=  yes<o:p></o:p></p>
<p class="MsoNormal">        forceencaps=    no<o:p></o:p></p>
<p class="MsoNormal">        rekeymargin=    3m<o:p></o:p></p>
<p class="MsoNormal">        keyingtries=    %forever<o:p></o:p></p>
<p class="MsoNormal">        keylife=        60m<o:p></o:p></p>
<p class="MsoNormal">        ikelifetime=    480m<o:p></o:p></p>
<p class="MsoNormal">        ikev2=          no<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">        #RTT<o:p></o:p></p>
<p class="MsoNormal">        left=           10.59.31.49<o:p></o:p></p>
<p class="MsoNormal">        leftsubnets=    {10.2.170.0/26,10.1.178.0/26,10.1.160.64/27,10.1.162.64/27,10.1.176.0/25,10.1.170.0/25,10.2.166.0/26,10.2.74.64/29,10.2.166.0/26,10.2.130.64/28,10.2.168.10/32,10.2.168.11/32,10.1.172.10/32,10.1.172.11/32}<o:p></o:p></p>
<p class="MsoNormal">        leftid=         ######<o:p></o:p></p>
<p class="MsoNormal">        leftnexthop=    10.59.31.54<o:p></o:p></p>
<p class="MsoNormal">        leftsourceip=   10.59.31.49<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">        #SAA<o:p></o:p></p>
<p class="MsoNormal">        right=          ####<o:p></o:p></p>
<p class="MsoNormal">        rightid=        ####<o:p></o:p></p>
<p class="MsoNormal">        rightsubnet=    10.199.0.0/28<o:p></o:p></p>
<p class="MsoNormal">        ike=            aes256-sha2_256;modp2048<o:p></o:p></p>
<p class="MsoNormal">        phase2=         esp<o:p></o:p></p>
<p class="MsoNormal">        phase2alg=      aes256-sha2_256;modp2048<o:p></o:p></p>
<p class="MsoNormal">        pfs=            yes<o:p></o:p></p>
<p class="MsoNormal">        sha2_truncbug=  no<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">        #Dead Peer Detection<o:p></o:p></p>
<p class="MsoNormal">        dpdaction=      restart<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">################################ StrongSWAN #################################################<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># /etc/ipsec.conf - strongSwan IPsec configuration file<o:p></o:p></p>
<p class="MsoNormal">config setup<o:p></o:p></p>
<p class="MsoNormal">         #uniqueids=never<o:p></o:p></p>
<p class="MsoNormal">         #charondebug="cfg 2, dmn 2, ike 2, net 2"<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn %default<o:p></o:p></p>
<p class="MsoNormal">         ikelifetime=60m<o:p></o:p></p>
<p class="MsoNormal">         keylife=60m<o:p></o:p></p>
<p class="MsoNormal">         keyexchange=ikev1<o:p></o:p></p>
<p class="MsoNormal">         type=tunnel<o:p></o:p></p>
<p class="MsoNormal">         rekeymargin=3m<o:p></o:p></p>
<p class="MsoNormal">         keyingtries=1<o:p></o:p></p>
<p class="MsoNormal">         #authby=secret<o:p></o:p></p>
<p class="MsoNormal">         ike=aes256-sha1-modp1024<o:p></o:p></p>
<p class="MsoNormal">         esp=aes256-sha1-modp1024<o:p></o:p></p>
<p class="MsoNormal">         aggressive=yes<o:p></o:p></p>
<p class="MsoNormal">         dpdaction=clear<o:p></o:p></p>
<p class="MsoNormal">         dpddelay=30s<o:p></o:p></p>
<p class="MsoNormal">         dpdtimeout=120<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn remoteend1<o:p></o:p></p>
<p class="MsoNormal">        type=tunnel<o:p></o:p></p>
<p class="MsoNormal">        authby=secret<o:p></o:p></p>
<p class="MsoNormal">        #nat_traversal=yes<o:p></o:p></p>
<p class="MsoNormal">        forceencaps=no<o:p></o:p></p>
<p class="MsoNormal">        #mobike=yes<o:p></o:p></p>
<p class="MsoNormal">        keyexchange=ikev1<o:p></o:p></p>
<p class="MsoNormal">        <o:p></o:p></p>
<p class="MsoNormal">                                #Left<o:p></o:p></p>
<p class="MsoNormal">                                left=10.199.0.6<o:p></o:p></p>
<p class="MsoNormal">        leftsubnet=10.199.0.0/28<o:p></o:p></p>
<p class="MsoNormal">        leftid=#######<o:p></o:p></p>
<p class="MsoNormal">        #leftauth=psk<o:p></o:p></p>
<p class="MsoNormal">        leftfirewall=yes<o:p></o:p></p>
<p class="MsoNormal">                                <o:p></o:p></p>
<p class="MsoNormal">                                #Encryption<o:p></o:p></p>
<p class="MsoNormal">        ike=aes256-sha256-modp2048<o:p></o:p></p>
<p class="MsoNormal">        esp=aes256-sha256-modp2048<o:p></o:p></p>
<p class="MsoNormal">        <o:p></o:p></p>
<p class="MsoNormal">                                #Right<o:p></o:p></p>
<p class="MsoNormal">                                right=############<o:p></o:p></p>
<p class="MsoNormal">                                rightsubnet=10.2.170.0/26,10.1.178.0/26,10.1.160.64/27,10.1.162.64/27,10.1.176.0/25,10.1.170.0/25,10.2.166.0/26,10.2.74.64/29,10.2.166.0/26,10.2.130.64/28,10.2.168.10/32,10.2.168.11/32,10.1.172.10/32,10.1.172.11/32<o:p></o:p></p>
<p class="MsoNormal">        rightid=###########<o:p></o:p></p>
<p class="MsoNormal">                                <o:p></o:p></p>
<p class="MsoNormal">                                #Settings<o:p></o:p></p>
<p class="MsoNormal">        aggressive=no<o:p></o:p></p>
<p class="MsoNormal">        ikelifetime=480m<o:p></o:p></p>
<p class="MsoNormal">        keyingtries=%forever<o:p></o:p></p>
<p class="MsoNormal">        keylife=60m<o:p></o:p></p>
<p class="MsoNormal">        dpdaction=restart<o:p></o:p></p>
<p class="MsoNormal">        dpdtimeout=120s<o:p></o:p></p>
<p class="MsoNormal">        dpddelay=30s<o:p></o:p></p>
<p class="MsoNormal">        auto=start<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Are these  messages expected or does it point to a configuration issue?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Both ends will negotiate the VPN connection correctly and communication over the VPN is successful!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Joe<o:p></o:p></p>
</div>
</body>
</html>