
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">

<HTML><HEAD>

<META content="text/html; charset=us-ascii" http-equiv=Content-Type>

<META name=GENERATOR content="MSHTML 8.00.6001.19190"></HEAD>

<BODY>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012>Hi 

,</SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN 

class=968092707-30042012></SPAN></FONT> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012> I am 

getting  <SPAN lang=EN>INVALID_ID_INFORMATION  error with 

certificates(attached with this mail) and the below configuration in 

ikev1.</SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN> When the configuration is changed for ikev2 it is working fine and 

tunnel are created<FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN>. </SPAN></SPAN></FONT></SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN><FONT 

size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN> The pluto 

logs for both units are also 

attached.</SPAN></SPAN></FONT></SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN></SPAN></SPAN></FONT> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN></SPAN></SPAN></FONT> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN>Unit<SPAN class=984385807-30042012> 1</SPAN>:</SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN><STRONG>[root@FED14 etc]# cat ipsec.conf <BR></STRONG># /etc/ipsec.conf 

- strongSwan IPsec configuration file<BR>config setup<BR>  

crlcheckinterval=180s<BR>  strictcrlpolicy=no<BR>  

plutostart=yes<BR>  plutodebug=controlmore<BR>  

charonstart=no<BR>  

plutostderrlog=/tmp/plutolog.txt</SPAN></SPAN></FONT></DIV>

<DIV> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN>ca 

rootca1<BR>  cacert=cacert.pem</SPAN></SPAN></FONT></DIV>

<DIV> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN>conn 

%default<BR>  leftcert=/usr/local/etc/ipsec.d/certs/PC1Cert.pem<BR>  

authby=pubkey<BR>  keyexchange=ikev1<BR>  

auto=start</SPAN></SPAN></FONT></DIV>

<DIV> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN>conn 

conn101<BR>  leftsubnet=70.70.70.7/24<BR>  

rightsubnet=20.20.20.2/24<BR>  left=10.10.10.5<BR>  

right=10.10.10.6</SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN><STRONG>[root@linuxPC2 etc]# ipsec statusall<BR></STRONG>000 Status of 

IKEv1 pluto daemon (strongSwan 4.6.2):<BR>000 interface lo/lo ::1:500<BR>000 

interface lo/lo 127.0.0.1:500<BR>000 interface eth0/eth0 10.10.10.6:500<BR>000 

interface eth1/eth1 20.20.20.2:500<BR>000 interface eth2/eth2 

10.125.40.64:500<BR>000 interface virbr0/virbr0 192.168.122.1:500<BR>000 %myid = 

'%any'<BR>000 loaded plugins: aes des sha1 sha2 md5 random x509 pkcs1 pkcs8 pgp 

dnskey pem gmp hmac xauth attr kernel-netlink resolve<BR>000 debug options: 

controlmore<BR>000 <BR>000 "conn101": 20.20.20.0/24===10.10.10.6[C=IN, ST=KAR, 

O=xxxxx, OU=xxxxx, CN=PC2CERT]...10.10.10.5[10.10.10.5]===70.70.70.0/24; 

unrouted; eroute owner: #0<BR>000 "conn101":   CAs: "C=IN, ST=KAR, 

L=BANG, O=xxxxx, OU=xxxxx, CN=CACERT"...%any<BR>000 "conn101":   

ike_life: 10800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; 

keyingtries: 3<BR>000 "conn101":   policy: 

PUBKEY+ENCRYPT+TUNNEL+PFS+UP; prio: 24,24; interface: eth0; <BR>000 

"conn101":   newest ISAKMP SA: #0; newest IPsec SA: #0; <BR>000 

<BR>000 #2: "conn101" STATE_MAIN_R2 (sent MR2, expecting MI3); EVENT_RETRANSMIT 

in 8s<BR>000 #1: "conn101" STATE_MAIN_I3 (sent MI3, expecting MR3); 

EVENT_RETRANSMIT in 4s<BR>000 #1: pending Phase 2 for "conn101" replacing 

#0<BR>000 </SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN></SPAN></SPAN></FONT> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN>Unit<SPAN class=984385807-30042012> </SPAN>2:</SPAN></SPAN></FONT></DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN 

lang=EN><STRONG>[root@linuxPC2 etc]# cat ipsec.conf <BR></STRONG># 

/etc/ipsec.conf - strongSwan IPsec configuration file<BR>config setup<BR>  

crlcheckinterval=180s<BR>  strictcrlpolicy=no<BR>  

plutostart=yes<BR>  plutodebug=controlmore<BR>  

charonstart=no<BR>  

plutostderrlog=/tmp/plutolog.txt</SPAN></SPAN></FONT></DIV>

<DIV> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN>ca 

rootca0<BR>  cacert=cacert.pem</SPAN></SPAN></FONT></DIV>

<DIV> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN>conn 

%default<BR>  leftcert=/etc/ipsec.d/certs/PC2Cert.pem<BR>  

keyexchange=ikev1<BR>  authby=pubkey<BR>  

auto=start</SPAN></SPAN></FONT></DIV>

<DIV> </DIV>

<DIV><FONT size=2 face=Arial><SPAN class=968092707-30042012><SPAN lang=EN>conn 

conn101<BR>  leftsubnet=20.20.20.2/24<BR>  

rightsubnet=70.70.70.7/24<BR>  left=10.10.10.6<BR>  

right=10.10.10.5</SPAN></SPAN></FONT></DIV>

<DIV> </DIV><SPAN class=968092707-30042012><SPAN lang=EN>

<DIV><BR><FONT face=Arial><FONT size=2><STRONG>[root@linuxPC2 etc]# ipsec 

statusall<BR></STRONG>000 Status of IKEv1 pluto daemon (strongSwan 

4.6.2):<BR>000 interface lo/lo ::1:500<BR>000 interface lo/lo 

127.0.0.1:500<BR>000 interface eth0/eth0 10.10.10.6:500<BR>000 interface 

eth1/eth1 20.20.20.2:500<BR>000 interface eth2/eth2 10.125.40.64:500<BR>000 

interface virbr0/virbr0 192.168.122.1:500<BR>000 %myid = '%any'<BR>000 loaded 

plugins: aes des sha1 sha2 md5 random x509 pkcs1 pkcs8 pgp dnskey pem gmp hmac 

xauth attr kernel-netlink resolve<BR>000 debug options: controlmore<BR>000 

<BR>000 "conn101": 20.20.20.0/24===10.10.10.6[C=IN, ST=KAR, O=<SPAN 

class=968092707-30042012>xxxxx</SPAN>, OU=<SPAN 

class=968092707-30042012>xxxxx</SPAN>, 

CN=PC2CERT]...10.10.10.5[10.10.10.5]===70.70.70.0/24; unrouted; eroute owner: 

#0<BR>000 "conn101":   CAs: "C=IN, ST=KAR, L=BANG, O=<SPAN 

class=968092707-30042012>xxxxx</SPAN>, OU=<SPAN 

class=968092707-30042012>xxxxx</SPAN>, CN=CACERT"...%any<BR>000 

"conn101":   ike_life: 10800s; ipsec_life: 3600s; rekey_margin: 540s; 

rekey_fuzz: 100%; keyingtries: 3<BR>000 "conn101":   policy: 

PUBKEY+ENCRYPT+TUNNEL+PFS+UP; prio: 24,24; interface: eth0; <BR>000 

"conn101":   newest ISAKMP SA: #0; newest IPsec SA: #0; <BR>000 

<BR>000 #2: "conn101" STATE_MAIN_R2 (sent MR2, expecting MI3); EVENT_RETRANSMIT 

in 8s<BR>000 #1: "conn101" STATE_MAIN_I3 (sent MI3, expecting MR3); 

EVENT_RETRANSMIT in 4s<BR>000 #1: pending Phase 2 for "conn101" replacing 

#0<BR>000 </FONT></FONT></SPAN></SPAN></DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV><FONT size=2 face=Arial>( To maintain confidentiality, I have masked the 

actual values, though<SPAN class=968092707-30042012> </SPAN>you can see the 

actual values in the logs and the certificate)<BR></FONT></DIV>

<DIV align=left><FONT size=2 face=Arial>Thanks & Regards,</FONT></DIV>

<DIV align=left><FONT size=2 face=Arial>Vinay</FONT></DIV>

<DIV> </DIV></BODY></HTML>