<div>Thanks for your help Thomas.</div><div>I am sorry not bring the detail of this question in my first mail. </div><div><span style="line-height: 1.5;">My testing system about the Strongswan and linux release version information as folow.</span></div><div><br></div><div>OS, I am running two IPsec box with Opensuse 11.3.</div><div>Strongswan, also Using Opensuse default 5.0.1 release (possible in Opensuse 11.3 DVD image).</div><div><div>IPsec box config file, <span style="line-height: 1.5;">'compress=yes' and 'forceencaps=yes' in /etc/ipsec.conf.</span></div><div><br></div><div>The debug messages from ipsec running that indicated 'IPComp is not supported if either peer is natted, IPComp disabled'.</div><div><br></div><div>Recently I've checked source code that the message about 'IPComp is not supported if either peer is natted.....' is placed in function 'add_ipcomp_notify' of 'child_create.c' line 683 '.</div><div><br></div><div>From your information, I've checked Strongswan 5.1.1 and this warning message was removed already.</div><div><br></div><div>That why I want to know this warning message from early Strongswan release version is caused by Linux implemention or IPsec standard?</div><div><br></div><div><span style="line-height: 1.5;">Strongswan 5.0.1</span></div><div>-------------------</div><div><div>static void add_ipcomp_notify(private_child_create_t *this,</div><div><span class="Apple-tab-span" style="white-space:pre">                                                            </span>  message_t *message, u_int8_t ipcomp)</div><div>{</div><div><span class="Apple-tab-span" style="white-space:pre">  </span>if (this->ike_sa->has_condition(this->ike_sa, COND_NAT_ANY))</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>{</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>DBG1(DBG_IKE, "IPComp is not supported if either peer is natted, "</div><div><span class="Apple-tab-span" style="white-space:pre">                 </span> "IPComp disabled");</div><div><span class="Apple-tab-span" style="white-space:pre">               </span>return;</div><div><span class="Apple-tab-span" style="white-space:pre">      </span>}</div><div><br></div><div><span class="Apple-tab-span" style="white-space:pre">   </span>this->my_cpi = this->child_sa->alloc_cpi(this->child_sa);</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>if (this->my_cpi)</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>{</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>this->ipcomp = ipcomp;</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>message->add_notify(message, FALSE, IPCOMP_SUPPORTED,</div><div><span class="Apple-tab-span" style="white-space:pre">                                                     </span>chunk_cata("cc", chunk_from_thing(this->my_cpi),</div><div><span class="Apple-tab-span" style="white-space:pre">                                                                        </span>   chunk_from_thing(ipcomp)));</div><div><span class="Apple-tab-span" style="white-space:pre">  </span>}</div><div><span class="Apple-tab-span" style="white-space:pre">    </span>else</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>{</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>DBG1(DBG_IKE, "unable to allocate a CPI from kernel, IPComp disabled");</div><div><span class="Apple-tab-span" style="white-space:pre">    </span>}</div><div>}</div></div><div>-------------------</div><div><br></div><div>Strongswan 5.1.1</div><div>-------------------</div><div><div>/**</div><div> * Adds an IPCOMP_SUPPORTED notify to the message, allocating a CPI</div><div> */</div><div>static void add_ipcomp_notify(private_child_create_t *this,</div><div><span class="Apple-tab-span" style="white-space:pre">                                                               </span>  message_t *message, u_int8_t ipcomp)</div><div>{</div><div><span class="Apple-tab-span" style="white-space:pre">  </span>this->my_cpi = this->child_sa->alloc_cpi(this->child_sa);</div><div><span class="Apple-tab-span" style="white-space:pre">        </span>if (this->my_cpi)</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>{</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>this->ipcomp = ipcomp;</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>message->add_notify(message, FALSE, IPCOMP_SUPPORTED,</div><div><span class="Apple-tab-span" style="white-space:pre">                                                     </span>chunk_cata("cc", chunk_from_thing(this->my_cpi),</div><div><span class="Apple-tab-span" style="white-space:pre">                                                                        </span>   chunk_from_thing(ipcomp)));</div><div><span class="Apple-tab-span" style="white-space:pre">  </span>}</div><div><span class="Apple-tab-span" style="white-space:pre">    </span>else</div><div><span class="Apple-tab-span" style="white-space:pre"> </span>{</div><div><span class="Apple-tab-span" style="white-space:pre">            </span>DBG1(DBG_IKE, "unable to allocate a CPI from kernel, IPComp disabled");</div><div><span class="Apple-tab-span" style="white-space:pre">    </span>}</div><div>}</div></div><div>------------------- </div><div><br></div><div>Best regards.</div><div>Robin.</div><div><br></div><div style="font-size: 12px;font-family: Arial Narrow;padding:2px 0 2px 0;">------------------ Original ------------------</div><div style="font-size: 12px;background:#efefef;padding:8px;"><div><b>From: </b> "Thomas Klute";<thomas2.klute@uni-dortmund.de>;</div><div><b>Date: </b> Sun, Dec 22, 2013 09:53 PM</div><div><b>To: </b> "dev"<dev@lists.strongswan.org>; <wbr></div><div></div><div><b>Subject: </b> Re: [strongSwan-dev] Question about Nat and IPcomp</div></div><div><br></div>Am 20.12.2013 03:59, schrieb Robin:<br>> Hello everyone, I am new member here.<br>> When I use strongswan I find something conflict about IPcomp and UDP encapsulating. <br>> <br>> After I checked mail list, some one says it's a Linux implement bug<br>> but no one point out what's the problem exectly is.<br>> <br>> Is this problem cause by Rfcs (IPcomp and UDP  encapsulating) or original IPSec implement?<br><br>I have a working setup with both NAT traversal and IPcomp, so I'm fairly<br>sure that there is no fundamental conflict between the two. ;-)<br><br>If you can provide more information about your problem, like error<br>messages, kernel and Strongswan versions, configuration and log files<br>(make sure to remove private information, e.g. encryption keys!),<br>someone here might be able to help you.<br><br>Regards,<br>Thomas<br><br>_______________________________________________<br>Dev mailing list<br>Dev@lists.strongswan.org<br>https://lists.strongswan.org/mailman/listinfo/dev<br>.<br></div>