Hi<br><br>I have a problem using multiple strict flags in my ipsec.conf configuration on Debian Squeeze  (strongswan package v4.4.1-5.1):<br><br><br>----<br># ipsec.conf - strongSwan IPsec configuration file<br><br># basic configuration<br>
config setup<br>        charonstart=yes<br>        plutostart=no<br><br># Add connections here.<br>conn %default<br>        keyexchange=ikev2<br>        auth=esp<br>        leftauth=pubkey<br>        left=%defaultroute<br>
        leftcert=vpn-serverCert.pem<br>        leftfirewall=no<br>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>        reauth=no<br><br>conn rw-uranus<br>        right=%any<br>        rightsourceip=10.0.1.2<br>
        rightid="C=NO, ST=Oppland, O=<a href="http://nixuser.net">nixuser.net</a>, OU=Backup server, CN=<a href="http://uranus.nixuser.net">uranus.nixuser.net</a>"<br>        auto=add<br>        ike=aes256-aesxcbc-ecp521!<br>
        esp=aes256gcm16-ecp521!<br>        dpdaction=clear<br><br>conn windows-7<br>        right=%any<br>        rightsourceip=10.0.1.3<br>        rightid="C=NO, ST=Oppland, O=<a href="http://nixuser.net">nixuser.net</a>, OU=Windows 7 klient, CN=<a href="http://klient.nixuser.net">klient.nixuser.net</a>"<br>
        auto=add<br>        ike=aes256-sha1-modp1024!<br>        esp=aes256-sha1!<br>        dpdaction=clear<br>        rekey=no<br><br>conn rw-europa<br>        right=%any<br>        rightsourceip=10.0.1.4<br>        rightid="C=NO, ST=Oppland, O=<a href="http://nixuser.net">nixuser.net</a>, OU=Filserver, CN=<a href="http://europa.nixuser.net">europa.nixuser.net</a>"<br>
        auto=add<br>        ike=aes256-aesxcbc-ecp521!<br>        esp=aes256gcm16-ecp521!<br>        dpdaction=clear<br><br>include /var/lib/strongswan/ipsec.conf.inc<br>----<br><br><br>When I try to connect with the windows-7 client I get the following in syslog:<br>
configured proposals: IKE:AES_CBC_256/AES_XCBC_96/PRF_AES128_XCBC/ECP_521<br>which indicates to me that the first strict flag is probably globally overriding everything also in the connections other algorithms are defined. <br>
The Windows 7 client can't connect as a result of this.<br>If I remove the strict flags everything works as intented.<br><br>Is it only possible to have one global (even if defined inside a connection) single ike/esp definition using strict flag in ipsec.conf?<br>
<br>---<br><font size="2"><span style="font-family:arial,helvetica,sans-serif">Regards</span></font>,<br><b>Hans-Kristian Bakke</b><font size="1"><span style="color:rgb(51, 51, 51)"></span></font><br>