
<div dir="ltr"><br>Hi All,<br><br>I am using strongswan 5.0.2. I am using the following configuration with host-host transport mode. <br>But I am facing a problem of "failed to establish CHILD_SA, keeping IKE_SA". And after IKE lifetime the IPSec connection expires. <br>

<br>Regards,<br>Rashid<br><br>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++<br><pre>config setup


conn %default

        ikelifetime=60m

        keylife=20m

        rekeymargin=3m

        keyingtries=1

        keyexchange=ikev2


conn host-host

        left=192.168.0.1

        leftcert=moonCert.pem

        leftid=@<a href="http://moon.strongswan.org">moon.strongswan.org</a>

        leftfirewall=yes

        right=192.168.0.2

        rightid=@<a href="http://sun.strongswan.org">sun.strongswan.org</a>

        auto=add

</pre>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++<br>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++<br><br>LOGS:<br><br>Mar  2 11:43:52 charon: 12[CFG] received stroke: initiate 'User35'<br>

Mar  2 11:43:52 charon: 13[IKE] initiating IKE_SA User35[1] to 192.168.20.101<br>Mar  2 11:43:52 charon: 13[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br>Mar  2 11:43:52 charon: 13[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (692 bytes)<br>

Mar  2 11:43:56 charon: 10[IKE] retransmit 1 of request with message ID 0<br>Mar  2 11:43:56 charon: 10[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (692 bytes)<br>Mar  2 11:44:03 charon: 14[IKE] retransmit 2 of request with message ID 0<br>

Mar  2 11:44:03 charon: 14[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (692 bytes)<br>Mar  2 11:44:12 charon: 15[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (692 bytes)<br>

Mar  2 11:44:12 charon: 15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br>Mar  2 11:44:12 charon: 15[IKE] 192.168.20.101 is initiating an IKE_SA<br>Mar  2 11:44:12 charon: 15[IKE] sending cert request for "CN=rca beem"<br>

Mar  2 11:44:12 charon: 15[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ ]<br>Mar  2 11:44:12 charon: 15[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (457 bytes)<br>

Mar  2 11:44:12 charon: 09[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (1724 bytes)<br>Mar  2 11:44:12 charon: 09[ENC] parsed IKE_AUTH request 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH N(USE_TRANSP) SA TSi TSr N(EAP_ONLY) ]<br>

Mar  2 11:44:12 charon: 09[IKE] received cert request for "CN=rca beem"<br>Mar  2 11:44:12 charon: 09[IKE] received end entity cert "CN=user"<br>Mar  2 11:44:12 charon: 09[CFG] looking for peer configs matching 192.168.20.105[CN=user6]<br>

Mar  2 11:44:12 charon: 09[CFG] selected peer config 'User35'<br>Mar  2 11:44:12 charon: 09[CFG]   using certificate "CN=user"<br>Mar  2 11:44:12 charon: 09[CFG]   using trusted ca certificate "CN=rca beem"<br>

Mar  2 11:44:12 charon: 09[CFG] checking certificate status of "CN=user"<br>Mar  2 11:44:12 charon: 09[CFG] certificate status is not available<br>Mar  2 11:44:12 charon: 09[CFG]   reached self-signed root ca with a path length of 0<br>

Mar  2 11:44:12 charon: 09[IKE] authentication of 'CN=user' with RSA signature successful<br>Mar  2 11:44:12 charon: 09[IKE] authentication of 'CN=user' (myself) with RSA signature successful<br>Mar  2 11:44:12 charon: 09[IKE] IKE_SA User35[2] established between 192.168.20.105[CN=user6]<br>

Mar  2 11:44:12 charon: 09[IKE] scheduling reauthentication in 3296s<br>Mar  2 11:44:12 charon: 09[IKE] maximum IKE_SA lifetime 3476s<br>Mar  2 11:44:12 charon: 09[IKE] sending end entity cert "CN=user6"<br>Mar  2 11:44:12 charon: 09[IKE] CHILD_SA User35{1} established with SPIs cc6457aa_i cb0deb7c_o and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === <a href="http://192.168.20.101/32">192.168.20.101/32</a><br>

Mar  2 11:44:12 charon: 09[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH N(USE_TRANSP) SA TSi TSr N(AUTH_LFT) ]<br>Mar  2 11:44:12 charon: 09[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (1452 bytes)<br>

Mar  2 11:44:16 charon: 07[IKE] retransmit 3 of request with message ID 0<br>Mar  2 11:44:16 charon: 07[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (692 bytes)<br>Mar  2 11:44:16 charon: 08[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (457 bytes)<br>

Mar  2 11:44:16 charon: 08[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ ]<br>Mar  2 11:44:16 charon: 08[IKE] received cert request for "CN=rca beem"<br>Mar  2 11:44:16 charon: 08[IKE] sending cert request for "CN=rca beem"<br>

Mar  2 11:44:16 charon: 08[IKE] authentication of 'CN=user6' (myself) with RSA signature successful<br>Mar  2 11:44:16 charon: 08[IKE] sending end entity cert "CN=user6"<br>Mar  2 11:44:16 charon: 08[IKE] establishing CHILD_SA User35<br>

Mar  2 11:44:16 charon: 08[ENC] generating IKE_AUTH request 1 [ IDi CERT CERTREQ IDr AUTH N(USE_TRANSP) SA TSi TSr N(EAP_ONLY) ]<br>Mar  2 11:44:16 charon: 08[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (1708 bytes)<br>

Mar  2 11:44:16 charon: 11[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (76 bytes)<br>Mar  2 11:44:16 charon: 11[ENC] parsed INFORMATIONAL request 2 [ D ]<br>Mar  2 11:44:16 charon: 11[IKE] received DELETE for IKE_SA User35[2]<br>

Mar  2 11:44:16 charon: 11[IKE] deleting IKE_SA User35[2] between 192.168.20.105[CN=user6]<br>Mar  2 11:44:16 charon: 11[IKE] IKE_SA deleted<br>Mar  2 11:44:16 charon: 11[ENC] generating INFORMATIONAL response 2 [ ]<br>Mar  2 11:44:16 charon: 11[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (76 bytes)<br>

Mar  2 11:44:16 charon: 13[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (1452 bytes)<br>Mar  2 11:44:16 charon: 13[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH N(USE_TRANSP) SA TSi TSr N(AUTH_LFT) ]<br>

Mar  2 11:44:16 charon: 13[IKE] received end entity cert "CN=user"<br>Mar  2 11:44:16 charon: 13[CFG]   using certificate "CN=user"<br>Mar  2 11:44:16 charon: 13[CFG]   using trusted ca certificate "CN=rca beem"<br>

Mar  2 11:44:16 charon: 13[CFG] checking certificate status of "CN=user"<br>Mar  2 11:44:16 charon: 13[CFG] certificate status is not available<br>Mar  2 11:44:16 charon: 13[CFG]   reached self-signed root ca with a path length of 0<br>

Mar  2 11:44:16 charon: 13[IKE] authentication of 'CN=user with RSA signature successful<br>Mar  2 11:44:16 charon: 13[IKE] IKE_SA User35[1] established between 192.168.20.105[CN=user6]<br>Mar  2 11:44:16 charon: 13[IKE] scheduling reauthentication in 3374s<br>

Mar  2 11:44:16 charon: 13[IKE] maximum IKE_SA lifetime 3554s<br>Mar  2 11:44:16 charon: 13[IKE] CHILD_SA User35{2} established with SPIs c99463e1_i c0e6f937_o and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === <a href="http://192.168.20.101/32">192.168.20.101/32</a><br>

Mar  2 11:44:16 charon: 13[IKE] received AUTH_LIFETIME of 3363s, scheduling reauthentication in 3183s<br>Mar  2 11:45:46 ntpd_initres[11608]: host name not found: <a href="http://ntp.ubuntu.com">ntp.ubuntu.com</a><br>Mar  2 11:59:59 charon: 01[KNL] creating rekey job for ESP CHILD_SA with SPI c99463e1 and reqid {2}<br>

Mar  2 11:59:59 charon: 08[IKE] establishing CHILD_SA User35{2}<br>Mar  2 11:59:59 charon: 08[ENC] generating CREATE_CHILD_SA request 2 [ N(REKEY_SA) N(USE_TRANSP) SA No TSi TSr ]<br>Mar  2 11:59:59 charon: 08[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>

Mar  2 11:59:59 charon: 11[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (204 bytes)<br>Mar  2 11:59:59 charon: 11[ENC] parsed CREATE_CHILD_SA response 2 [ N(USE_TRANSP) SA No TSi TSr ]<br>Mar  2 11:59:59 charon: 11[IKE] CHILD_SA User35{2} established with SPIs cd69f953_i c296beed_o and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === <a href="http://192.168.20.101/32">192.168.20.101/32</a><br>

Mar  2 11:59:59 charon: 11[IKE] closing CHILD_SA User35{2} with SPIs c99463e1_i (16767662 bytes) c0e6f937_o (171078341 bytes) and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === 192.168.20.  101/32<br>Mar  2 11:59:59 charon: 11[IKE] sending DELETE for ESP CHILD_SA with SPI c99463e1<br>

Mar  2 11:59:59 charon: 11[ENC] generating INFORMATIONAL request 3 [ D ]<br>Mar  2 11:59:59 charon: 11[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (76 bytes)<br>Mar  2 11:59:59 charon: 12[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (76 bytes)<br>

Mar  2 11:59:59 charon: 12[ENC] parsed INFORMATIONAL response 3 [ D ]<br>Mar  2 11:59:59 charon: 12[IKE] received DELETE for ESP CHILD_SA with SPI c0e6f937<br>Mar  2 11:59:59 charon: 12[IKE] CHILD_SA closed<br>Mar  2 12:00:25 charon: 15[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (636 bytes)<br>

Mar  2 12:00:25 charon: 15[ENC] parsed CREATE_CHILD_SA request 0 [ N(REKEY_SA) N(USE_TRANSP) SA No KE TSi TSr ]<br>Mar  2 12:00:25 charon: 15[IKE] unable to rekey, CHILD_SA not found<br>Mar  2 12:00:25 charon: 15[ENC] generating CREATE_CHILD_SA response 0 [ N(NO_PROP) ]<br>

Mar  2 12:00:25 charon: 15[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (76 bytes)<br>Mar  2 12:00:25 charon: 14[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (76 bytes)<br>

Mar  2 12:00:25 charon: 14[ENC] parsed INFORMATIONAL request 1 [ ]<br>Mar  2 12:00:25 charon: 14[ENC] generating INFORMATIONAL response 1 [ ]<br>Mar  2 12:00:25 charon: 14[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (76 bytes)<br>

Mar  2 12:03:09 ntpd_initres[11608]: host name not found: <a href="http://ntp.ubuntu.com">ntp.ubuntu.com</a><br>Mar  2 12:14:41 charon: 01[KNL] creating rekey job for ESP CHILD_SA with SPI cd69f953 and reqid {2}<br>Mar  2 12:14:41 charon: 09[IKE] establishing CHILD_SA User35{2}<br>

Mar  2 12:14:41 charon: 09[ENC] generating CREATE_CHILD_SA request 4 [ N(REKEY_SA) N(USE_TRANSP) SA No TSi TSr ]<br>Mar  2 12:14:41 charon: 09[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>

Mar  2 12:14:45 charon: 07[IKE] retransmit 1 of request with message ID 4<br>Mar  2 12:14:45 charon: 07[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:14:52 charon: 08[IKE] retransmit 2 of request with message ID 4<br>

Mar  2 12:14:52 charon: 08[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:15:05 charon: 11[IKE] retransmit 3 of request with message ID 4<br>Mar  2 12:15:05 charon: 11[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>

Mar  2 12:15:29 charon: 12[IKE] retransmit 4 of request with message ID 4<br>Mar  2 12:15:29 charon: 12[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:15:39 charon: 13[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (636 bytes)<br>

Mar  2 12:15:39 charon: 13[ENC] parsed CREATE_CHILD_SA request 2 [ N(REKEY_SA) N(USE_TRANSP) SA No KE TSi TSr ]<br>Mar  2 12:15:39 charon: 13[IKE] ignoring KE exchange, agreed on a non-PFS proposal<br>Mar  2 12:15:39 charon: 13[IKE] CHILD_SA User35{2} established with SPIs c3a2f85c_i c2c4e03b_o and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === <a href="http://192.168.20.101/32">192.168.20.101/32</a><br>

Mar  2 12:15:39 charon: 13[IKE] detected CHILD_REKEY collision with CHILD_REKEY<br>Mar  2 12:15:39 charon: 13[ENC] generating CREATE_CHILD_SA response 2 [ N(USE_TRANSP) SA No TSi TSr ]<br>Mar  2 12:15:39 charon: 13[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (204 bytes)<br>

Mar  2 12:15:39 charon: 10[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (76 bytes)<br>Mar  2 12:15:39 charon: 10[ENC] parsed INFORMATIONAL request 3 [ D ]<br>Mar  2 12:15:39 charon: 10[IKE] received DELETE for ESP CHILD_SA with SPI c296beed<br>

Mar  2 12:15:39 charon: 10[IKE] closing CHILD_SA User35{2} with SPIs cd69f953_i (16385303 bytes) c296beed_o (168719893 bytes) and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === 192.168.20.  101/32<br>Mar  2 12:15:39 charon: 10[IKE] sending DELETE for ESP CHILD_SA with SPI cd69f953<br>

Mar  2 12:15:39 charon: 10[IKE] CHILD_SA closed<br>Mar  2 12:15:39 charon: 10[IKE] detected CHILD_REKEY collision with CHILD_DELETE<br>Mar  2 12:15:39 charon: 10[ENC] generating INFORMATIONAL response 3 [ D ]<br>Mar  2 12:15:39 charon: 10[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (76 bytes)<br>

Mar  2 12:16:11 charon: 15[IKE] retransmit 5 of request with message ID 4<br>Mar  2 12:16:11 charon: 15[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:16:11 charon: 14[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (76 bytes)<br>

Mar  2 12:16:11 charon: 14[ENC] parsed CREATE_CHILD_SA response 4 [ N(NO_PROP) ]<br>Mar  2 12:16:11 charon: 14[IKE] received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built<br>Mar  2 12:16:11 charon: 14[IKE] failed to establish CHILD_SA, keeping IKE_SA<br>

Mar  2 12:20:32 ntpd_initres[11608]: host name not found: <a href="http://ntp.ubuntu.com">ntp.ubuntu.com</a><br>Mar  2 12:30:29 charon: 01[KNL] creating rekey job for ESP CHILD_SA with SPI c2c4e03b and reqid {2}<br>Mar  2 12:30:29 charon: 07[IKE] establishing CHILD_SA User35{2}<br>

Mar  2 12:30:29 charon: 07[ENC] generating CREATE_CHILD_SA request 5 [ N(REKEY_SA) N(USE_TRANSP) SA No TSi TSr ]<br>Mar  2 12:30:29 charon: 07[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>

Mar  2 12:30:33 charon: 08[IKE] retransmit 1 of request with message ID 5<br>Mar  2 12:30:33 charon: 08[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:30:38 charon: 01[KNL] creating rekey job for ESP CHILD_SA with SPI c3a2f85c and reqid {2}<br>

Mar  2 12:30:40 charon: 12[IKE] retransmit 2 of request with message ID 5<br>Mar  2 12:30:40 charon: 12[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:30:53 charon: 13[IKE] retransmit 3 of request with message ID 5<br>

Mar  2 12:30:53 charon: 13[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (348 bytes)<br>Mar  2 12:31:11 charon: 10[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (636 bytes)<br>

Mar  2 12:31:11 charon: 10[ENC] parsed CREATE_CHILD_SA request 4 [ N(REKEY_SA) N(USE_TRANSP) SA No KE TSi TSr ]<br>Mar  2 12:31:11 charon: 10[IKE] ignoring KE exchange, agreed on a non-PFS proposal<br>Mar  2 12:31:11 charon: 10[IKE] CHILD_SA User35{2} established with SPIs cc68f94c_i c752cc5b_o and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === <a href="http://192.168.20.101/32">192.168.20.101/32</a><br>

Mar  2 12:31:11 charon: 10[IKE] detected CHILD_REKEY collision with CHILD_REKEY<br>Mar  2 12:31:11 charon: 10[ENC] generating CREATE_CHILD_SA response 4 [ N(USE_TRANSP) SA No TSi TSr ]<br>Mar  2 12:31:11 charon: 10[NET] sending packet: from 192.168.20.105[500] to 192.168.20.101[500] (204 bytes)<br>

Mar  2 12:31:11 charon: 15[NET] received packet: from 192.168.20.101[500] to 192.168.20.105[500] (76 bytes)<br>Mar  2 12:31:11 charon: 15[ENC] parsed INFORMATIONAL request 5 [ D ]<br>Mar  2 12:31:11 charon: 15[IKE] received DELETE for ESP CHILD_SA with SPI c2c4e03b<br>

Mar  2 12:31:11 charon: 15[IKE] closing CHILD_SA User35{2} with SPIs c3a2f85c_i (16638470 bytes) c2c4e03b_o (168013514 bytes) and TS <a href="http://192.168.20.105/32">192.168.20.105/32</a> === 192.168.20.  101/32<br>+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++<br>

<br></div>