<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><br>Andreas - thanks for the help. The strict flag got me a little further.<br>
<br>
I am beginning to think that SonicOS Enhanced 4.2 is not compatible with
 Strongswan. I am trying to set up a roadwarrior VPN scenario, using the
 Sonicwall GroupVPN policy. This does not support IKE v2, so I must use 
IKE v1. Since Strongswan doesn't support aggressive mode, I need to use 
main mode. Haven't had any luck with XAUTH, either. I'm also using 
preshared keys.<br>
<br>
After spending several hours on this, I cannot even get past phase 1:<br>
<br>
<font><font size="2">root@mercury:/home/jack# ipsec up test<br>
002 "home" #1: initiating Main Mode<br>
104 "home" #1: STATE_MAIN_I1: initiate<br>
003 "home" #1: ignoring Vendor ID payload [5b362bc820f60007]<br>
003 "home" #1: received Vendor ID payload [RFC 3947]<br>
002 "home" #1: enabling possible NAT-traversal with method 3<br>
106 "home" #1: STATE_MAIN_I2: sent MI2, expecting MR2<br>
003 "home" #1: ignoring Vendor ID payload [404bf439522ca3f6]<br>
003 "home" #1: received Vendor ID payload [XAUTH]<br>
003 "home" #1: received Vendor ID payload [Dead Peer Detection]<br>
003 "home" #1: NAT-Traversal: Result using RFC 3947: i am NATed<br>
108 "home" #1: STATE_MAIN_I3: sent MI3, expecting MR3<br>
003 "home" #1: ModeCfg message is unacceptable because it is for an incomplete ISAKMP SA (state=STATE_MAIN_I3)<br>
010 "home" #1: STATE_MAIN_I3: retransmission; will wait 20s for response</font></font><br>
<br>
I've got complete control over the Sonicwall, and all I see in the logs:<br>
<span style="cursor: pointer;"><br>
Received packet retransmission. Drop duplicate packet</span><br>
<span style="cursor: pointer;">Received unencrypted packet in crypto active state</span><br>
<span style="cursor: pointer;">Received notify: PAYLOAD_MALFORMED<br>
  <br>
I know the crypto settings match between the ipspec.config and the 
Sonicwall, and the preshared key is set properly in ipsec.secrets.<br>
  <br>
</span><font><font size="2">config setup<br>
        plutodebug=all<br>
        charonstart=yes<br>
        plutostart=yes<br>
        nat_traversal=yes<br>
<br>
<br>
conn %default<br>
        ikelifetime=60m<br>
        keylife=20m<br>
        rekeymargin=3m<br>
        keyingtries=0<br>
<br>
# Add connections here.<br>
conn home<br>
        type=tunnel<br>
        auto=add<br>
        authby=secret<br>
        ike=3des-md5-modp1536<br>
        esp=3des-md5<br>
        pfs=no<br>
        auth=esp<br>
        keyexchange=ikev1<br>
        left=</font></font><font><font size="2">aaa.bbb.ccc.ddd</font></font><br>
<font><font size="2">
        leftnexthop=gateway ip address on roadwarrior side<br>
        leftsubnet=aaa.bbb.ccc.0/24<br>
        leftid=aaa.bbb.ccc.ddd<br>
        right=Sonicwall public address<br>
        rightsubnet=xxx.yyy.zzz.0/24<br>
        rightid=@Sonicwall Unique ID</font></font><br><blockquote style="border-left: 2px solid rgb(16, 16, 255); margin-left: 5px; padding-left: 5px;"><div class="plainMail"><br>N(INVAL_SYN) is sometimes returned if the peer does not recognize or<br>support all crypto proposals. Have you tried to restrict it to simple<br>ones as e.g.<br><br>  ike=aes128-sha1-modp2048!<br><br>Do not forget to set the strict flag '!' so that only this suite is<br>proposed.<br></div></blockquote></td></tr></table><br>