<br clear="all">Hi All,<br>  I formed a site-site tunnel between router1 and router2.  I have stopped ipsec service (ipsec stop) on router2.<br>After IPsec service has been stopped , packets are getting dropped on router1 and its not reaching router2.<br>
<br>Please find configuration and the logs below.<br><b>Router1<br>++++++</b><br>conn fqdn2_strongwantostrongswan<br>    type=tunnel<br>    keyexchange=ikev1<br>    left=%defaultroute<br>    leftid=@<a href="mailto:cross@tos.com">cross@tos.com</a><br>
    right=172.31.114.227<br>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    auth=esp<br>    authby=secret<br>    rekey=yes<br>    auto=add<br><br><b>Router2<br>++++++<br>Ipsec.conf<br></b><br>conn fqdn2_stronswantostrongswan<br>
    type=tunnel<br>    keyexchange=ikev1<br>    left=172.31.114.227<br>    right=%any<br>    rightid=@<a href="mailto:cross@tos.com">cross@tos.com</a><br>    auth=esp<br>    authby=secret<br>    rekey=no<br>    auto=add<br>
<b><br>Router 1 logs<br>++++++++++</b><br>[root@localhost LR]# ipsec restart<br>Stopping strongSwan IPsec...<br>Starting strongSwan 4.6.2 IPsec [starter]...<br>[root@localhost LR]# ipsec up fqdn2_strongwantostrongswan<br>
002 "fqdn2_strongwantostrongswan" #1: initiating Main Mode<br>102 "fqdn2_strongwantostrongswan" #1: STATE_MAIN_I1: initiate<br>003 "fqdn2_strongwantostrongswan" #1: received Vendor ID payload [strongSwan]<br>
003 "fqdn2_strongwantostrongswan" #1: ignoring Vendor ID payload [Cisco-Unity]<br>003 "fqdn2_strongwantostrongswan" #1: received Vendor ID payload [XAUTH]<br>003 "fqdn2_strongwantostrongswan" #1: received Vendor ID payload [Dead Peer Detection]<br>
003 "fqdn2_strongwantostrongswan" #1: received Vendor ID payload [RFC 3947]<br>002 "fqdn2_strongwantostrongswan" #1: enabling possible NAT-traversal with method 3<br>104 "fqdn2_strongwantostrongswan" #1: STATE_MAIN_I2: sent MI2, expecting MR2<br>
003 "fqdn2_strongwantostrongswan" #1: NAT-Traversal: Result using RFC 3947: no NAT detected<br>106 "fqdn2_strongwantostrongswan" #1: STATE_MAIN_I3: sent MI3, expecting MR3<br>002 "fqdn2_strongwantostrongswan" #1: Peer ID is ID_IPV4_ADDR: '172.31.114.227'<br>
002 "fqdn2_strongwantostrongswan" #1: ISAKMP SA established<br>004 "fqdn2_strongwantostrongswan" #1: STATE_MAIN_I4: ISAKMP SA established<br>002 "fqdn2_strongwantostrongswan" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}<br>
110 "fqdn2_strongwantostrongswan" #2: STATE_QUICK_I1: initiate<br>002 "fqdn2_strongwantostrongswan" #2: sent QI2, IPsec SA established {ESP=>0xce188de5 <0xcb088978}<br>004 "fqdn2_strongwantostrongswan" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xce188de5 <0xcb088978}<br>
[root@localhost LR]#<br>[root@localhost LR]#<br>[root@localhost LR]#<br>[root@localhost LR]#<br>[root@localhost LR]#<br>[root@localhost LR<b>]# tail -f /var/log/secure</b><br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: received Vendor ID payload [RFC 3947]<br>
May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: enabling possible NAT-traversal with method 3<br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: NAT-Traversal: Result using RFC 3947: no NAT detected<br>
May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: Peer ID is ID_IPV4_ADDR: '172.31.114.227'<br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: ISAKMP SA established<br>
May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}<br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #2: sent QI2, IPsec SA established {ESP=>0xce188de5 <0xcb088978}<br>
May  2 20:32:55 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: received Delete SA payload: replace IPSEC State #2 in 10 seconds<br>May  2 20:32:55 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: received Delete SA payload: deleting ISAKMP State #1<br>
May  2 20:33:05 localhost pluto[870]: "fqdn2_strongwantostrongswan" #3: initiating Main Mode<br>[root@localhost LR]#<br>[root@localhost LR]#<b> ip xfrm state</b><br>[root@localhost LR]#<br>[root@localhost LR]<b># tail -f /var/log/secure</b><br>
May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: enabling possible NAT-traversal with method 3<br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: NAT-Traversal: Result using RFC 3947: no NAT detected<br>
May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: Peer ID is ID_IPV4_ADDR: '172.31.114.227'<br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: ISAKMP SA established<br>
May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}<br>May  2 20:31:27 localhost pluto[870]: "fqdn2_strongwantostrongswan" #2: sent QI2, IPsec SA established {ESP=>0xce188de5 <0xcb088978}<br>
May  2 20:32:55 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: received Delete SA payload: replace IPSEC State #2 in 10 seconds<br>May  2 20:32:55 localhost pluto[870]: "fqdn2_strongwantostrongswan" #1: received Delete SA payload: deleting ISAKMP State #1<br>
May  2 20:33:05 localhost pluto[870]: "fqdn2_strongwantostrongswan" #3: initiating Main Mode<br>May  2 20:33:15 localhost pluto[870]: "fqdn2_strongwantostrongswan" #2: IPsec SA expired (LATEST!)<br><br>
[root@localhost LR]#<b> ip xfrm policy</b><br>src <a href="http://172.31.114.226/32">172.31.114.226/32</a> dst <a href="http://172.31.114.227/32">172.31.114.227/32</a><br>    dir out priority 3843 ptype main<br>    tmpl src 0.0.0.0 dst 0.0.0.0<br>
        proto esp reqid 0 mode transport<br>src <a href="http://172.31.114.227/32">172.31.114.227/32</a> dst <a href="http://172.31.114.226/32">172.31.114.226/32</a><br>    dir fwd priority 1795 ptype main<br>    tmpl src 172.31.114.227 dst 172.31.114.226<br>
        proto esp reqid 16388 mode tunnel<br>src <a href="http://172.31.114.227/32">172.31.114.227/32</a> dst <a href="http://172.31.114.226/32">172.31.114.226/32</a><br>    dir in priority 1795 ptype main<br>    tmpl src 172.31.114.227 dst 172.31.114.226<br>
        proto esp reqid 16388 mode tunnel<br>src ::/0 dst ::/0<br>   dir 3 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 4 priority 0 ptype main<br>
src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 3 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>
    dir 4 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 3 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>
    dir 4 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 3 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>
    dir 4 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 3 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>
    dir 4 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 3 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>
    dir 4 priority 0 ptype main<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    dir 3 priority 0 ptype main<br><br><b>Router2 logs<br>++++++++++</b><br>[root@uxcasxxx Cassidian_RBP_dev]#<br>
[root@uxcasxxx Cassidian_RBP_dev]# ipsec restart<br>Stopping strongSwan IPsec...<br>Starting strongSwan 4.6.2 IPsec [starter]...<br>[root@uxcasxxx Cassidian_RBP_dev]#<br>[root@uxcasxxx Cassidian_RBP_dev]#<br>[root@uxcasxxx Cassidian_RBP_dev]#<br>
[root@uxcasxxx Cassidian_RBP_dev]#<br>[root@uxcasxxx Cassidian_RBP_dev]#<br>[root@uxcasxxx Cassidian_RBP_dev]#<br>[root@uxcasxxx Cassidian_RBP_dev]# tail -f /var/log/secure<br>May  2 18:09:51 uxcasxxx pluto[25047]: packet from <a href="http://172.31.114.226:500">172.31.114.226:500</a>:<br>
ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]<br>May  2 18:09:51 uxcasxxx pluto[25047]: packet from <a href="http://172.31.114.226:500">172.31.114.226:500</a>:<br>ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02]<br>
May  2 18:09:51 uxcasxxx pluto[25047]: packet from <a href="http://172.31.114.226:500">172.31.114.226:500</a>:<br>ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]<br>May  2 18:09:51 uxcasxxx pluto[25047]: packet from <a href="http://172.31.114.226:500">172.31.114.226:500</a>:<br>
ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-00]<br>May  2 18:09:51 uxcasxxx pluto[25047]: "fqdn2_stronswantostrongswan"[1]<br>172.31.114.226 #1: responding to Main Mode from unknown peer 172.31.114.226<br>
May  2 18:09:51 uxcasxxx pluto[25047]: "fqdn2_stronswantostrongswan"[1]<br>172.31.114.226 #1: NAT-Traversal: Result using RFC 3947: no NAT detected<br>May  2 18:09:51 uxcasxxx pluto[25047]: "fqdn2_stronswantostrongswan"[1]<br>
172.31.114.226 #1: Peer ID is ID_FQDN: '<a href="mailto:cross@tos.com">cross@tos.com</a>'<br>May  2 18:09:51 uxcasxxx pluto[25047]: "fqdn2_stronswantostrongswan"[1]<br>172.31.114.226 #1: sent MR3, ISAKMP SA established<br>
May  2 18:09:51 uxcasxxx pluto[25047]: "fqdn2_stronswantostrongswan"[1]<br>172.31.114.226 #2: responding to Quick Mode<br>May  2 18:09:52 uxcasxxx pluto[25047]: "fqdn2_stronswantostrongswan"[1]<br>172.31.114.226 #2: IPsec SA established {ESP=>0xcb088978 <0xce188de5}<br>
^C<br>[root@uxcasxxx Cassidian_RBP_dev]# ipsec stop<br>Stopping strongSwan IPsec...<br><b>[root@uxcasxxx Cassidian_RBP_dev]# ip xfrm state<br>[root@uxcasxxx Cassidian_RBP_dev]# ip xfrm policy<br></b><br><br>-- <br>Regards,<br>
Anonymous cross.<br>