<br><br>Hello,<br><br>I build a vpn ipsec between openswan and cisco ASA 5510.<br><br>After execution of /etc/init.d/ipsec restart, i have these line in log.<br><br> <br><br>| handling event EVENT_RETRANSMIT for 2.2.2.2 "VPN-site-to-site" #1<br><br>| sending 220 bytes for EVENT_RETRANSMIT through eth0:500 to <a href="http://2.2.2.2:500">2.2.2.2:500</a> (using #1)<br><br>|   b2 d3 09 d7  1a 62 b2 e3  00 00 00 00  00 00 00 00<br><br>|   01 10 02 00  00 00 00 00  00 00 00 dc  0d 00 00 38<br><br>|   00 00 00 01  00 00 00 01  00 00 00 2c  00 01 00 01<br><br>|   00 00 00 24  00 01 00 00  80 0b 00 01  80 0c 70 80<br><br>|   80 01 00 07  80 02 00 02  80 03 00 01  80 04 00 02<br><br>|   80 0e 01 00  0d 00 00 10  4f 45 76 79  5c 6b 67 7a<br><br>|   57 71 5c 73  0d 00 00 14  af ca d7 13  68 a1 f1 c9<br><br>|   6b 86 96 fc  77 57 01 00  0d 00 00 14  4a 13 1c 81<br><br>|   07 03 58 45  5c 57 28 f2  0e 95 45 2f  0d 00 00 14<br><br>|   7d 94 19 a6  53 10 ca 6f  2c 17 9d 92  15 52 9d 56<br><br>|   0d 00 00 14  90 cb 80 91  3e bb 69 6e  08 63 81 b5<br><br>|   ec 42 7b 1f  0d 00 00 14  cd 60 46 43  35 df 21 f8<br><br>|   7c fd b2 fc  68 b6 a4 48  00 00 00 14  44 85 15 2d<br><br>|   18 b6 bb cd  0b e8 a8 46  95 79 dd cc<br><br>| inserting event EVENT_RETRANSMIT, timeout in 20 seconds for #1<br><br>| event added at head of queue<br><br>| next event EVENT_RETRANSMIT in 20 seconds for #1<br><br>| <br><br>| rejected packet:<br><br>|   b2 d3 09 d7  1a 62 b2 e3  00 00 00 00  00 00 00 00<br><br>|   01 10 02 00  00 00 00 00  00 00 00 dc  0d 00 00 38<br><br>|   00 00 00 01  00 00 00 01  00 00 00 2c  00 01 00 01<br><br>|   00 00 00 24  00 01 00 00  80 0b 00 01  80 0c 70 80<br><br>|   80 01 00 07  80 02 00 02  80 03 00 01  80 04 00 02<br><br>|   80 0e 01 00  0d 00 00 10  4f 45 76 79  5c 6b 67 7a<br><br>|   57 71 5c 73  0d 00 00 14  af ca d7 13  68 a1 f1 c9<br><br>|   6b 86 96 fc  77 57 01 00  0d 00 00 14  4a 13 1c 81<br><br>|   07 03 58 45  5c 57 28 f2  0e 95 45 2f  0d 00 00 14<br><br>|   7d 94 19 a6  53 10 ca 6f  2c 17 9d 92  15 52 9d 56<br><br>|   0d 00 00 14  90 cb 80 91  3e bb 69 6e  08 63 81 b5<br><br>|   ec 42 7b 1f  0d 00 00 14  cd 60 46 43  35 df 21 f8<br><br>|   7c fd b2 fc  68 b6 a4 48  00 00 00 14  44 85 15 2d<br><br>|   18 b6 bb cd  0b e8 a8 46  95 79 dd cc<br><br>| control:<br><br>|   1c 00 00 00  00 00 00 00  00 00 00 00  08 00 00 00<br><br>|   00 00 00 00  00 00 00 00  d5 20 43 e3  eb 7f 00 00<br><br>|   30 00 00 00  00 00 00 00  00 00 00 00  0b 00 00 00<br><br>|   71 00 00 00  02 03 01 00  00 00 00 00  00 00 00 00<br><br>|   02 00 00 00  d5 20 43 e3  00 00 00 00  00 00 00 00<br><br>| name:<br><br>|   02 00 01 f4  81 b9 1e 01  00 00 00 00  00 00 00 00<br><br> <br><br>"VPN-site-to-site" #1: ERROR: asynchronous network error report on eth0 (sport=500) for message to 2.2.2.2 port 500, complainant <a href="http://1.1.1.1">1.1.1.1</a>: No route to host [errno 113, origin ICMP type 3 code 1 (not authenticated)]<br><br>| * processed 0 messages from cryptographic helpers<br><br>| next event EVENT_RETRANSMIT in 17 seconds for #1<br><br>| next event EVENT_RETRANSMIT in 17 seconds for #1<br><br> <br><br>Openswan IP : 1.1.1.1<br><br>Cisco asa 5510 IP : 2.2.2.2<br><br>IP of VM behind cisco : <a href="http://172.27.51.9/32">172.27.51.9/32</a><br><br>Ipsec.secrets :<br><br>1.1.1.1 <a href="http://2.2.2.2">2.2.2.2</a>: PSK "azerty"<br><br>Ipsec.conf :<br><br>version 2.0     # conforms to second version of ipsec.conf specification<br><br> <br><br>config setup<br><br>        # Do not set debug options to debug configuration issues!<br><br>        # plutodebug / klipsdebug = "all", "none" or a combation from below:<br><br>        # "raw crypt parsing emitting control klips pfkey natt x509 dpd private"<br><br>        # eg:<br><br>        # plutodebug="control parsing"<br><br>        # Again: only enable plutodebug or klipsdebug when asked by a developer<br><br>        #<br><br>        # enable to get logs per-peer<br><br>        # plutoopts="--perpeerlog"<br><br>        #<br><br>        # Enable core dumps (might require system changes, like ulimit -C)<br><br>        # This is required for abrtd to work properly<br><br>        # Note: incorrect SElinux policies might prevent pluto writing the core<br><br>        dumpdir=/var/run/pluto/<br><br>        #<br><br>        # NAT-TRAVERSAL support, see README.NAT-Traversal<br><br>        nat_traversal=yes<br><br>        # exclude networks used on server side by adding %v4:!a.b.c.0/24<br><br>        # It seems that T-Mobile in the US and Rogers/Fido in Canada are<br><br>        # using 25/8 as "private" address space on their 3G network.<br><br>        # This range has not been announced via BGP (at least upto 2010-12-21)<br><br>        virtual_private=%v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10</a><br><br>        # OE is now off by default. Uncomment and change to on, to enable.<br><br>        oe=off<br><br>        # which IPsec stack to use. auto will try netkey, then klips then mast<br><br>        protostack=netkey<br><br>        # Use this to log to a file, or disable logging on embedded systems (like openwrt)<br><br>        #plutostderrlog=/dev/null<br><br>        plutodebug=all<br><br>        plutostderrlog=/var/log/openswan.log<br><br># Add connections here<br><br>conn VPN-site-to-site<br><br>        type=tunnel<br><br>        left=1.1.1.1<br><br>        right=2.2.2.2<br><br>        rightsubnet=<a href="http://172.27.51.9/32">172.27.51.9/32</a><br><br>        authby=secret<br><br>        auto=start<br><br>        keyexchange=ike<br><br>        #type=tunnel<br><br>        ike=aes256-sha1;modp1024!<br><br>        ikelifetime=28800s<br><br>        aggrmode=no<br><br>        phase2=esp<br><br>        phase2alg=aes256-sha1<br><br>        keylife=3600s<br><br>        forceencaps=yes<br><br> <br><br>--<br>Sincerly yours<br>Fraj KALLEL.<br><br><br>-- <br>Bien cordialement.<br>Fraj KALLEL.<br>GSM: 21 90 05 74<br>