Martin,<br><br>Thank you for the tips. It helped me focus on the key issue - XFRM- and resolved it.<br><br>Thanks!<br>Jordan.<br><br><div class="gmail_quote">On Thu, Aug 23, 2012 at 11:52 PM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Jordan,<br>
<br>
> 00[KNL] XFRM_PPLICY_OUT sol = 0, ipsec_policy = 17, policy.sel.dport 0<br>
<div class="im">> 00[NET] installing IKE bypass policy failed<br>
><br>
> Ok, so you're doing  a setsockopt SO_PEERCRED call.<br>
<br>
</div>No. This setsockopt() works on the SOL_IP level, where 17 stands for<br>
IP_XFRM_POLICY.<br>
<br>
The call installs a bypass IPsec policy for the IKE socket, forcing all<br>
IKE communication to stay outside of any established IPsec tunnel.<br>
<div class="im"><br>
> Do you have any other hints for me what this could be happening?<br>
<br>
</div>As already said, most likely is that your kernel (configuration) misses<br>
support for XFRM. If that doesn't help, you might have to dig into the<br>
kernel source and find out where and why Linux returns "not supported"<br>
for this setsockopt operation.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br>