
<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><br>Andreas - thanks for the help. The strict flag got me a little further.<br>

<br>

I am beginning to think that SonicOS Enhanced 4.2 is not compatible with

 Strongswan. I am trying to set up a roadwarrior VPN scenario, using the

 Sonicwall GroupVPN policy. This does not support IKE v2, so I must use 

IKE v1. Since Strongswan doesn't support aggressive mode, I need to use 

main mode. Haven't had any luck with XAUTH, either. I'm also using 

preshared keys.<br>

<br>

After spending several hours on this, I cannot even get past phase 1:<br>

<br>

<font><font size="2">root@mercury:/home/jack# ipsec up test<br>

002 "home" #1: initiating Main Mode<br>

104 "home" #1: STATE_MAIN_I1: initiate<br>

003 "home" #1: ignoring Vendor ID payload [5b362bc820f60007]<br>

003 "home" #1: received Vendor ID payload [RFC 3947]<br>

002 "home" #1: enabling possible NAT-traversal with method 3<br>

106 "home" #1: STATE_MAIN_I2: sent MI2, expecting MR2<br>

003 "home" #1: ignoring Vendor ID payload [404bf439522ca3f6]<br>

003 "home" #1: received Vendor ID payload [XAUTH]<br>

003 "home" #1: received Vendor ID payload [Dead Peer Detection]<br>

003 "home" #1: NAT-Traversal: Result using RFC 3947: i am NATed<br>

108 "home" #1: STATE_MAIN_I3: sent MI3, expecting MR3<br>

003 "home" #1: ModeCfg message is unacceptable because it is for an incomplete ISAKMP SA (state=STATE_MAIN_I3)<br>

010 "home" #1: STATE_MAIN_I3: retransmission; will wait 20s for response</font></font><br>

<br>

I've got complete control over the Sonicwall, and all I see in the logs:<br>

<span style="cursor: pointer;"><br>

Received packet retransmission. Drop duplicate packet</span><br>

<span style="cursor: pointer;">Received unencrypted packet in crypto active state</span><br>

<span style="cursor: pointer;">Received notify: PAYLOAD_MALFORMED<br>

  <br>

I know the crypto settings match between the ipspec.config and the 

Sonicwall, and the preshared key is set properly in ipsec.secrets.<br>

  <br>

</span><font><font size="2">config setup<br>

        plutodebug=all<br>

        charonstart=yes<br>

        plutostart=yes<br>

        nat_traversal=yes<br>

<br>

<br>

conn %default<br>

        ikelifetime=60m<br>

        keylife=20m<br>

        rekeymargin=3m<br>

        keyingtries=0<br>

<br>

# Add connections here.<br>

conn home<br>

        type=tunnel<br>

        auto=add<br>

        authby=secret<br>

        ike=3des-md5-modp1536<br>

        esp=3des-md5<br>

        pfs=no<br>

        auth=esp<br>

        keyexchange=ikev1<br>

        left=</font></font><font><font size="2">aaa.bbb.ccc.ddd</font></font><br>

<font><font size="2">

        leftnexthop=gateway ip address on roadwarrior side<br>

        leftsubnet=aaa.bbb.ccc.0/24<br>

        leftid=aaa.bbb.ccc.ddd<br>

        right=Sonicwall public address<br>

        rightsubnet=xxx.yyy.zzz.0/24<br>

        rightid=@Sonicwall Unique ID</font></font><br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; padding-left: 5px;"><div class="plainMail"><br>N(INVAL_SYN) is sometimes returned if the peer does not recognize or<br>support all crypto proposals. Have you tried to restrict it to simple<br>ones as e.g.<br><br>  ike=aes128-sha1-modp2048!<br><br>Do not forget to set the strict flag '!' so that only this suite is<br>proposed.<br></div></blockquote></td></tr></table><br>