<div>Hi Andreas, </div>
<div> </div>
<div>Thank you for your prompt repsonse! when I added the following item: </div>
<div> </div>
<div>leftsourceip=%config</div>
<div> </div>
<div>and can be see one payload [CP] will be added into the message, but it seems that Juniper SSG 550M can not handle this CP payload and the procedure can not be completed.</div>
<div> </div>
<div>Therefore, I don't sure if this issue caused by this unset configuration items. please help to check further, thanks again!</div>
<div> </div>
<div>Best wishes,</div>
<div>david morris<br></div>
<div class="gmail_quote">2010/9/18 Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a>></span><br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Hi David,<br><br>I you want the Juniper SSG 550M to allocate an inner IP address,<br>then you must specify<br>
<br> leftsourceip=%config<br><br>in the conn FAP0 definition. As always a strongSwan log would<br>help in identifying any connection setup problems.<br><br>Best regards<br><br>Andreas 
<div>
<div></div>
<div class="h5"><br><br>On 09/18/2010 08:04 AM, David Deng wrote:<br></div></div>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<div>
<div></div>
<div class="h5">Hi Martin, Hi All,<br>I configured strongswan with following items and tried to interoperate<br>with Juniper  SSG 550M, but I found no inner IP can be allocated from<br>Juniper SSG 550M and the link always indicated as "down" while the SA<br>
status was "Active".<br>THE CONFIGURATION of STRONGSWAN is:<br>1) IPSEC.CONF<br>config setup<br>  strictcrlpolicy=no<br>  plutostart=no<br>conn %default<br>  ike=3des-sha1-modp1024!<br>  esp=3des-sha1!<br>  ikelifetime=1440m<br>
  keylife=24m<br>  rekeymargin=3m<br>  keyingtries=%forever<br>  reauth=no<br>  keyexchange=ikev2<br>  pfs=yes<br>  authby=secret<br>conn FAP0<br>  left=172.19.2.169<br>  leftid=<a href="mailto:pbr@juniper.com" target="_blank">pbr@juniper.com</a><br>
  leftfirewall=yes<br>  right=172.19.2.199<br>  rightsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a><br>  auto=add<br>2) ipsec.secrets<br># /etc/ipsec.secrets - strongswan IPsec secrets file<br><a href="mailto:pbr@juniper.com" target="_blank">pbr@juniper.com</a> : PSK PBRVPN0<br>
IN JUNIPER SSG 550<br>1) I create one dailup user and configure the gateway and IKE with<br>authenticate as PSK and IKEv2 used.  and then I configure one policy for it.<br>2) configuration of Juniper SSG 550 listed as followed:<br>
set clock timezone 0<br>set vrouter trust-vr sharable<br>set vrouter "untrust-vr"<br>exit<br>set vrouter "trust-vr"<br>unset auto-route-export<br>exit<br>set alg appleichat enable<br>unset alg appleichat re-assembly enable<br>
set alg sctp enable<br>set auth-server "Local" id 0<br>set auth-server "Local" server-name "Local"<br>set auth default auth server "Local"<br>set auth radius accounting port 1646<br>
set admin name "netscreen"<br>set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"<br>set admin auth web timeout 10<br>set admin auth server "Local"<br>set admin format dos<br>set zone "Trust" vrouter "trust-vr"<br>
set zone "Untrust" vrouter "trust-vr"<br>set zone "DMZ" vrouter "trust-vr"<br>set zone "VLAN" vrouter "trust-vr"<br>set zone "Untrust-Tun" vrouter "trust-vr"<br>
set zone "Trust" tcp-rst<br>set zone "Untrust" block<br>unset zone "Untrust" tcp-rst<br>set zone "MGT" block<br>set zone "DMZ" tcp-rst<br>set zone "VLAN" block<br>
unset zone "VLAN" tcp-rst<br>set zone "Untrust" screen tear-drop<br>set zone "Untrust" screen syn-flood<br>set zone "Untrust" screen ping-death<br>set zone "Untrust" screen ip-filter-src<br>
set zone "Untrust" screen land<br>set zone "V1-Untrust" screen tear-drop<br>set zone "V1-Untrust" screen syn-flood<br>set zone "V1-Untrust" screen ping-death<br>set zone "V1-Untrust" screen ip-filter-src<br>
set zone "V1-Untrust" screen land<br>set interface "ethernet0/0" zone "Trust"<br>set interface "ethernet0/1" zone "Trust"<br>set interface "ethernet0/2" zone "Untrust"<br>
set interface "ethernet0/3" zone "Trust"<br>set interface "tunnel.1" zone "Trust"<br></div></div>set interface ethernet0/0 ip <a href="http://192.168.1.1/24" target="_blank">192.168.1.1/24</a> <<a href="http://192.168.1.1/24" target="_blank">http://192.168.1.1/24</a>> 
<div class="im"><br>set interface ethernet0/0 route<br>unset interface vlan1 ip<br></div>set interface ethernet0/1 ip <a href="http://192.168.52.253/24" target="_blank">192.168.52.253/24</a> <<a href="http://192.168.52.253/24" target="_blank">http://192.168.52.253/24</a>> 
<div class="im"><br>set interface ethernet0/1 nat<br></div>set interface ethernet0/2 ip <a href="http://172.19.2.199/24" target="_blank">172.19.2.199/24</a> <<a href="http://172.19.2.199/24" target="_blank">http://172.19.2.199/24</a>> 
<div class="im"><br>set interface ethernet0/2 route<br></div>set interface ethernet0/3 ip <a href="http://192.168.54.253/24" target="_blank">192.168.54.253/24</a> <<a href="http://192.168.54.253/24" target="_blank">http://192.168.54.253/24</a>> 
<div>
<div></div>
<div class="h5"><br>set interface ethernet0/3 nat<br>set interface tunnel.1 ip unnumbered interface ethernet0/2<br>set interface ethernet0/2 bandwidth egress mbw 5000 ingress mbw 5000<br>set interface tunnel.1 mtu 1500<br>
set interface "ethernet0/1" pmtu ipv4<br>unset interface vlan1 bypass-others-ipsec<br>unset interface vlan1 bypass-non-ip<br>set interface ethernet0/0 ip manageable<br>set interface ethernet0/1 ip manageable<br>
set interface ethernet0/2 ip manageable<br>set interface ethernet0/3 ip manageable<br>set interface ethernet0/1 manage ident-reset<br>set interface ethernet0/2 manage ping<br>set interface ethernet0/2 manage snmp<br>set interface ethernet0/2 manage ssl<br>
set interface ethernet0/2 manage web<br>unset interface ethernet0/3 manage ssh<br>unset interface ethernet0/3 manage telnet<br>unset interface ethernet0/3 manage snmp<br>unset interface ethernet0/3 manage ssl<br>unset interface ethernet0/3 manage web<br>
set interface ethernet0/0 dhcp server service<br>set interface ethernet0/0 dhcp server enable<br>set interface ethernet0/0 dhcp server option lease 1440000<br>set interface ethernet0/0 dhcp server ip 192.168.1.200 to 192.168.1.250<br>
set interface ethernet0/0 dhcp server config next-server-ip<br>unset interface ethernet0/0 dhcp server config updatable<br>unset flow no-tcp-seq-check<br>set flow tcp-syn-check<br>unset flow tcp-syn-bit-check<br>set flow reverse-route clear-text prefer<br>
set flow reverse-route tunnel always<br></div></div>set domain <a href="http://zte.com.cn/" target="_blank">zte.com.cn</a> <<a href="http://zte.com.cn/" target="_blank">http://zte.com.cn</a>> 
<div class="im"><br>set pki authority default cert-status revocation-check none<br>set pki authority default scep mode "auto"<br>set pki x509 default cert-path partial<br>set pki x509 dn country-name "CN"<br>
set pki x509 dn local-name "SZ"<br>set pki x509 dn org-name "JUNIPER lmt"<br>set pki x509 dn org-unit-name "OMS"<br>set pki x509 dn name "ssg550m"<br></div>set pki x509 dn email <a href="mailto:ssg550m@juniper.com" target="_blank">ssg550m@juniper.com</a> <mailto:<a href="mailto:ssg550m@juniper.com" target="_blank">ssg550m@juniper.com</a>> 
<div class="im"><br>set pki x509 dn ip 172.19.2.199<br>set pki x509 default send-to "<a href="mailto:david.morris@juniper.com" target="_blank">david.morris@juniper.com</a><br></div><mailto:<a href="mailto:david.morris@juniper.com" target="_blank">david.morris@juniper.com</a>>" 
<div class="im"><br>set pki x509 default crl-refresh "daily"<br>set pki x509 cert-fqdn <a href="http://ssg550m.juniper.com.cn/" target="_blank">ssg550m.juniper.com.cn</a><br></div><<a href="http://ssg550m.juniper.com.cn/" target="_blank">http://ssg550m.juniper.com.cn</a>> 
<div class="im"><br>set dns host dns1 172.19.2.189 src-interface ethernet0/2<br>set dns host dns2 0.0.0.0<br>set dns host dns3 0.0.0.0<br></div>set address "Trust" "<a href="http://10.1.0.0/16" target="_blank">10.1.0.0/16</a> <<a href="http://10.1.0.0/16" target="_blank">http://10.1.0.0/16</a>>" 10.1.0.0 255.255.0.0<br>
set address "Trust" "<a href="http://10.10.1.0/24" target="_blank">10.10.1.0/24</a> <<a href="http://10.10.1.0/24" target="_blank">http://10.10.1.0/24</a>>" 10.10.1.0<br>255.255.255.0<br>set address "Trust" "<a href="http://192.168.52.0/24" target="_blank">192.168.52.0/24</a> <<a href="http://192.168.52.0/24" target="_blank">http://192.168.52.0/24</a>>" 
<div class="im"><br>192.168.52.0 255.255.255.0<br>set address "Trust" "PBR-NB-intranet" 192.168.1.0 255.255.255.0<br></div>set address "Untrust" "<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>>" 0.0.0.0 0.0.0.0<br>
set address "Untrust" "<a href="http://192.168.52.250/24" target="_blank">192.168.52.250/24</a> <<a href="http://192.168.52.250/24" target="_blank">http://192.168.52.250/24</a>>" 
<div class="im"><br>192.168.52.250 255.255.255.0<br>set user "PBR-USR00" uid 4<br>set user "PBR-USR00" ike-id u-fqdn <a href="mailto:pbr@juniper.com" target="_blank">pbr@juniper.com</a><br></div><mailto:<a href="mailto:pbr@juniper.com" target="_blank">pbr@juniper.com</a>> share-limit 1 
<div>
<div></div>
<div class="h5"><br>set user "PBR-USR00" type ike<br>set user "PBR-USR00" "enable"<br>set ike gateway ikev2 "PBR-seGW00" dialup "PBR-USR00" outgoing-interface<br>"ethernet0/2" preshare "D2hjHzq+NQYEm8sqF4CL8G1aOznYgJ+iHQ==" proposal<br>
"pre-g2-3des-sha"<br>unset ike gateway ikev2 "PBR-seGW00" nat-traversal<br>set ike respond-bad-spi 1<br>set ike gateway ikev2 "PBR-seGW00" auth-method self preshare peer preshare<br>set ike ikev2 ike-sa-soft-lifetime 60<br>
unset ike ikeid-enumeration<br>unset ike dos-protection<br>unset ipsec access-session enable<br>set ipsec access-session maximum 5000<br>set ipsec access-session upper-threshold 0<br>set ipsec access-session lower-threshold 0<br>
set ipsec access-session dead-p2-sa-timeout 0<br>unset ipsec access-session log-error<br>unset ipsec access-session info-exch-connected<br>unset ipsec access-session use-error-log<br>set vpn "PBR-IKE00" gateway "PBR-seGW00" no-replay tunnel idletime 0<br>
proposal "nopfs-esp-3des-sha"<br>set vpn "PBR-IKE00" monitor<br>set vrouter "untrust-vr"<br>exit<br>set vrouter "trust-vr"<br>exit<br>set url protocol websense<br>exit<br>set vpn "PBR-IKE00" proxy-id local-ip <a href="http://192.168.1.0/24" target="_blank">192.168.1.0/24</a><br>
</div></div><<a href="http://192.168.1.0/24" target="_blank">http://192.168.1.0/24</a>> remote-ip <a href="http://255.255.255.255/32" target="_blank">255.255.255.255/32</a><br><<a href="http://255.255.255.255/32" target="_blank">http://255.255.255.255/32</a>> "ANY" 
<div class="im"><br>set policy id 1 from "Untrust" to "Trust" "Dial-Up VPN"<br>"PBR-NB-intranet" "ANY" nat src tunnel vpn "PBR-IKE00" id 0x1 log<br>set policy id 1<br>
exit<br>set policy id 2 from "Trust" to "Untrust" "PBR-NB-intranet" "Any" "ANY"<br>permit<br>set policy id 2<br>exit<br>set nsmgmt bulkcli reboot-timeout 60<br>set ssh version v2<br>
set config lock timeout 5<br>unset license-key auto-update<br>set snmp port listen 161<br>set snmp port trap 162<br>set vrouter "untrust-vr"<br>set router-id 192.168.1.9<br>exit<br>set vrouter "trust-vr"<br>
set router-id 192.168.1.1<br>unset add-default-route<br></div>set route <a href="http://172.19.2.0/24" target="_blank">172.19.2.0/24</a> <<a href="http://172.19.2.0/24" target="_blank">http://172.19.2.0/24</a>> interface tunnel.1 
<div class="im"><br>set action-group name VR2<br>exit<br>set vrouter "untrust-vr"<br>exit<br>set vrouter "trust-vr"<br>exit<br>please help me check the root cause of this issue. thanks.<br>Best Regards,<br>
David.morris<br></div></blockquote><br>======================================================================<br><font color="#888888">Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a><br>
strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org/" target="_blank">www.strongswan.org</a><br>Institute for Internet Technologies and Applications<br>University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>===========================================================[ITA-HSR]==<br></font></blockquote></div><br>