<div dir="ltr">Hi,<div><br></div><div>I am having trouble setting up a connection to a provider (and am also running into delays getting logs from them) so I was wondering if anyone can spot a glaring error or point me in the possible right direction as to why my tunnel isnt coming up.</div><div><br></div><div>First off - the connection details (as provided by the remote party):</div><div><b>Remote:</b></div><div>Remote Device: Huawei VRP </div><div>Auth Method: Pre-Shared Key</div><div>Encryption: IKE</div><div>IKE PFS: 3DES</div><div>IKE Encryption Algorithm: SHA1</div><div>IKE Hashing Algorithm: Group 2 (1024)</div><div>IKE SA Lifetime: 14400 </div><div>Transform (IPSec Protocol): IKE</div><div>IPSEC Perfect Forward Secrecy: ESP</div><div>IPSEC Encryption Algorithm: 3DES</div><div>IPSEC Hashing Algorithm: SHA1</div><div>IPSEC SA Lifetime: 3600</div><div>Hosts: 172.25.48.43, 172.25.48.36</div><div><br></div><div>Here is my config:</div><div><div><b>[root@server ~]# cat /etc/ipsec.conf</b></div><div># /etc/ipsec.conf - Openswan IPsec configuration file</div><div>version<span class="gmail-Apple-tab-span" style="white-space:pre">    </span>2.0<span class="gmail-Apple-tab-span" style="white-space:pre">   </span># conforms to second version of ipsec.conf specification<br></div><div><br></div><div># basic configuration</div><div>config setup</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>nat_traversal=yes</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>virtual_private=%v:<a href="http://10.0.0.0/16">10.0.0.0/16</a></div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>protostack=netkey</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>interfaces=%defaultroute</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>klipsdebug=none</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>plutodebug=none</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>plutowait=no</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>uniqueids=yes</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>include /etc/ipsec.d/*.conf</div><div><br></div><div><b>[root@server ~]# cat /etc/ipsec.d/host-prd.conf</b></div><div>#######################################################################</div><div># VPN to HOST</div><div>#</div><div>#remoteEndPoint/32        (Production)       externalIP/32</div><div>#</div><div>conn host-prd</div><div>        ##### Local</div><div>        left=externalIP</div><div>        leftsourceip=externalIP</div><div>        leftsubnet=externalIP/32</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>leftnexthop=%defaultroute</div><div><br></div><div>        ##### Remote</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>right=remoteEndPoint</div><div>        rightsubnets={<a href="http://172.25.48.43/32">172.25.48.43/32</a> <a href="http://172.25.48.36/32">172.25.48.36/32</a>}</div><div>        rightnexthop=%defaultroute</div><div><br></div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>##### Auth Options</div><div>        authby=secret</div><div>        rekey=no</div><div><br></div><div>        ##### Phase 1</div><div>        keyexchange=ike</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>ike=3des-sha1-modp1024</div><div>        ikelifetime="14400"</div><div><br></div><div>        ##### Phase 2</div><div>        auth=esp</div><div>        esp=3des-sha1</div><div>        keylife="3600"</div><div>        pfs=no</div><div><br></div><div>        ##### Connection Options</div><div>        type=tunnel</div><div>        auto=start</div><div>        compress=no</div><div><br></div><div>        disablearrivalcheck=no</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>dpddelay=10</div><div>        dpdtimeout=30</div><div>        dpdaction=restart</div></div><div><br></div><div><br></div><div>Here are the logs of when I try connect:</div><div><div>[root@server ~]# ipsec status</div><div>000 using kernel interface: netkey</div><div>000 interface lo/lo ::1</div><div>000 interface lo/lo 127.0.0.1</div><div>000 interface lo/lo 127.0.0.1</div><div>000 interface eth0/eth0 externalIP</div><div>000 interface eth0/eth0 externalIP</div><div>000 interface eth1/eth1 10.0.64.10</div><div>000 interface eth1/eth1 10.0.64.10</div><div>000 %myid = (none)</div><div>000 debug none</div><div>000</div><div>000 virtual_private (%priv):</div><div>000 - allowed 0 subnets:</div><div>000 - disallowed 0 subnets:</div><div>000 WARNING: Either virtual_private= is not specified, or there is a syntax</div><div>000          error in that line. 'left/rightsubnet=vhost:%priv' will not work!</div><div>000 WARNING: Disallowed subnets in virtual_private= is empty. If you have</div><div>000          private address space in internal use, it should be excluded!</div><div>000</div><div>000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192</div><div>000 algorithm ESP encrypt: id=6, name=ESP_CAST, ivlen=8, keysizemin=128, keysizemax=128</div><div>000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448</div><div>000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0</div><div>000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=12, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=16, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=12, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=16, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=22, name=(null), ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256</div><div>000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128</div><div>000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160</div><div>000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256</div><div>000 algorithm ESP auth attr: id=6, name=AUTH_ALGORITHM_HMAC_SHA2_384, keysizemin=384, keysizemax=384</div><div>000 algorithm ESP auth attr: id=7, name=AUTH_ALGORITHM_HMAC_SHA2_512, keysizemin=512, keysizemax=512</div><div>000 algorithm ESP auth attr: id=8, name=(null), keysizemin=160, keysizemax=160</div><div>000 algorithm ESP auth attr: id=9, name=(null), keysizemin=128, keysizemax=128</div><div>000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0</div><div>000</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128</div><div>000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192</div><div>000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128</div><div>000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128</div><div>000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16</div><div>000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20</div><div>000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32</div><div>000 algorithm IKE hash: id=5, name=OAKLEY_SHA2_384, hashsize=48</div><div>000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64</div><div>000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024</div><div>000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536</div><div>000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048</div><div>000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072</div><div>000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096</div><div>000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144</div><div>000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192</div><div>000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024</div><div>000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048</div><div>000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048</div><div>000</div><div>000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,8064,64} trans={0,8064,3072} attrs={0,8064,2048}</div><div>000</div><div>000 "host-prd/0x1": externalIP/32===externalIP<externalIP>[+S=C]---defGateway...defGateway---remoteEndPoint<remoteEndPoint>[+S=C]===<a href="http://172.25.48.43/32">172.25.48.43/32</a>; unrouted; eroute owner: #0</div><div>000 "host-prd/0x1":     myip=externalIP; hisip=unset;</div><div>000 "host-prd/0x1":   ike_life: 14400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes</div><div>000 "host-prd/0x1":   policy: PSK+ENCRYPT+TUNNEL+DONTREKEY+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 32,32; interface: eth0;</div><div>000 "host-prd/0x1":   newest ISAKMP SA: #0; newest IPsec SA: #0;</div><div>000 "host-prd/0x1":   aliases: host-prd</div><div>000 "host-prd/0x1":   IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2)</div><div>000 "host-prd/0x1":   IKE algorithms found:  3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)</div><div>000 "host-prd/0x1":   ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000</div><div>000 "host-prd/0x1":   ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160</div><div>000 "host-prd/0x2": externalIP/32===externalIP<externalIP>[+S=C]---defGateway...defGateway---remoteEndPoint<remoteEndPoint>[+S=C]===<a href="http://172.25.48.36/32">172.25.48.36/32</a>; unrouted; eroute owner: #0</div><div>000 "host-prd/0x2":     myip=externalIP; hisip=unset;</div><div>000 "host-prd/0x2":   ike_life: 14400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes</div><div>000 "host-prd/0x2":   policy: PSK+ENCRYPT+TUNNEL+DONTREKEY+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 32,32; interface: eth0;</div><div>000 "host-prd/0x2":   newest ISAKMP SA: #7757; newest IPsec SA: #0;</div><div>000 "host-prd/0x2":   aliases: host-prd</div><div>000 "host-prd/0x2":   IKE algorithms wanted: 3DES_CBC(5)_000-SHA1(2)_000-MODP1024(2)</div><div>000 "host-prd/0x2":   IKE algorithms found:  3DES_CBC(5)_192-SHA1(2)_160-MODP1024(2)</div><div>000 "host-prd/0x2":   IKE algorithm newest: 3DES_CBC_192-SHA1-MODP1024</div><div>000 "host-prd/0x2":   ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000</div><div>000 "host-prd/0x2":   ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160</div><div>000</div><div>000 #8083: "host-prd/0x1":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 4s; nodpd; idle; import:admin initiate</div><div>000 #8082: "host-prd/0x2":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 4s; nodpd; idle; import:admin initiate</div><div>000 #7757: "host-prd/0x2":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE_IF_USED in 2380s; newest ISAKMP; nodpd; idle; import:admin initiate</div><div>000</div></div><div><br></div><div><b>Here is an ipsec verify:</b></div><div><div>[root@server ~]# ipsec verify</div><div>Checking your system to see if IPsec got installed and started correctly:</div><div>Version check and ipsec on-path                             <span class="gmail-Apple-tab-span" style="white-space:pre">       </span>[OK]</div><div>Linux Openswan U2.6.32/K2.6.32-504.16.2.el6.x86_64 (netkey)</div><div>Checking for IPsec support in kernel                        <span class="gmail-Apple-tab-span" style="white-space:pre"> </span>[OK]</div><div> SAref kernel support                                       <span class="gmail-Apple-tab-span" style="white-space:pre">   </span>[N/A]</div><div> NETKEY:  Testing for disabled ICMP send_redirects          <span class="gmail-Apple-tab-span" style="white-space:pre">       </span>[OK]</div><div>NETKEY detected, testing for disabled ICMP accept_redirects <span class="gmail-Apple-tab-span" style="white-space:pre">       </span>[OK]</div><div>Checking that pluto is running                              <span class="gmail-Apple-tab-span" style="white-space:pre">        </span>[OK]</div><div> Pluto listening for IKE on udp 500                         <span class="gmail-Apple-tab-span" style="white-space:pre">  </span>[OK]</div><div> Pluto listening for NAT-T on udp 4500                      <span class="gmail-Apple-tab-span" style="white-space:pre">   </span>[OK]</div><div>Two or more interfaces found, checking IP forwarding        <span class="gmail-Apple-tab-span" style="white-space:pre">   </span>[OK]</div><div>Checking NAT and MASQUERADEing                              <span class="gmail-Apple-tab-span" style="white-space:pre">        </span>[OK]</div><div>Checking for 'ip' command                                   <span class="gmail-Apple-tab-span" style="white-space:pre">      </span>[OK]</div><div>Checking /bin/sh is not /bin/dash                           <span class="gmail-Apple-tab-span" style="white-space:pre">  </span>[OK]</div><div>Checking for 'iptables' command                             <span class="gmail-Apple-tab-span" style="white-space:pre"> </span>[OK]</div><div>Opportunistic Encryption Support                            <span class="gmail-Apple-tab-span" style="white-space:pre"> </span>[DISABLED]</div></div><div><br></div><div>Any ideas would be very welcome! Apologies if i'm missing something silly - i think i cant see the wood for the trees at the moment!</div><div><br></div><div>Regards</div><div>Ian</div><div><br></div></div>