Hi,<br>
  It seems , dynamic update of the  other ends IP address in NAT traversal is not supported in OpenSwan. <br>
According to rfc4306, it should be supported as part of NAT traversal. 
Please find the topology and issue I m facing out of this.<br>
<br>
<br>
Cisco <br>
VPN client -------------- Router1 ------------------------------------- VPN Sever(OpenSwan)<br>
<br>
20.1.1.1           20.1.1.2        50.1.1.226                    50.1.1.227<br>
                                            (eth1)<br>
Iptables<br>
++++++<br>
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE.<br>
<br>
I have established a VPN connection between VPN client and VPN server with the natted IP 50.1.1.226 to 50.1.1.227.<br>
After some time , eth1 interface IP address  have got changed as 
50.1.1.228 in eth1 of router 1, and tunnel gets disturbed by throwing 
the following error.<br>
<br>
<br>
Mar 30 14:52:54 uxcasxxx pluto[26817]: &quot;cisco-vpn&quot;[10] <a href="http://50.1.1.226:1797">50.1.1.226:1797</a> 
#17: nat_traversal_new_mapping: address change currently not supported 
[<a href="http://50.1.1.226:1797">50.1.1.226:1797</a>,<a href="http://50.1.1.228:1797">50.1.1.228:1797</a>]<br>
Mar 30 14:52:56 uxcasxxx pluto[26817]: &quot;cisco-vpn&quot;[10] <a href="http://50.1.1.226:1797">50.1.1.226:1797</a> 
#17: nat_traversal_new_mapping: address change currently not supported 
[<a href="http://50.1.1.226:1797">50.1.1.226:1797</a>,<a href="http://50.1.1.228:1797">50.1.1.228:1797</a>]<br>
Mar 30 14:52:59 uxcasxxx pluto[26817]: packet from <a href="http://50.1.1.228:1797">50.1.1.228:1797</a>: Informational Exchange is for an unknown (expired?) SA<br>
Mar 30 14:53:00 uxcasxxx pluto[26817]: ERROR: asynchronous network error
 report on eth0 for message to 50.1.1.226 port 1797, complainant 
<a href="http://50.1.1.227">50.1.1.227</a>: No route to host [errno 113, origin ICMP type 3 code 1 (not 
authenticated)]<br>
Mar 30 14:53:00 uxcasxxx pluto[26817]: ERROR: asynchronous network error
 report on eth0 for message to 50.1.1.226 port 1797, complainant 
<a href="http://50.1.1.227">50.1.1.227</a>: No route to host [errno 113, origin ICMP type 3 code 1 (not 
authenticated)]<br>
Mar 30 14:53:04 uxcasxxx pluto[26817]: packet from <a href="http://50.1.1.228:1797">50.1.1.228:1797</a>: Informational Exchange is for an unknown (expired?) SA<br>
Mar 30 14:53:09 uxcasxxx pluto[26817]: packet from <a href="http://50.1.1.228:1797">50.1.1.228:1797</a>: Informational Exchange is for an unknown (expired?) SA<br>
Mar 30 14:53:14 uxcasxxx pluto[26817]: packet from <a href="http://50.1.1.228:1797">50.1.1.228:1797</a>: Informational Exchange is for an unknown (expired?) SA<br>
Mar 30 14:53:19 uxcasxxx pluto[26817]: packet from <a href="http://50.1.1.228:1797">50.1.1.228:1797</a>: Informational Exchange is for an unknown (expired?) SA<br>
<br>
Do Openswan have planned to implement dynamic IP address update feature in NAT-T ??<br>
<br>
<br>
Regards,<br>
Saravanan N<br>