<div dir="ltr">I am trying to set up a SonicWall "VPN Tunnel Interface" connection to strongSwan.<div><br></div><div style>I am able to negotiate phase 1, but phase 2 dies with an error like this:</div><div style>

<br></div><div style><i>"cannot respond to IPsec SA request because no connection is known for <a href="http://0.0.0.0/0===1.2.3.4[1.2.3.4]...5.6.7.8[5.6.7.8]===0.0.0.0/0">0.0.0.0/0===1.2.3.4[1.2.3.4]...5.6.7.8[5.6.7.8]===0.0.0.0/0</a>"<br>

</i></div><div style><br></div><div style>(IPs obviously obfuscated)</div><div style><br></div><div style>So it seems the SonicWall is proposing all zeroes networks on both sides. Otherwise it is a completely normal ipsec tunnel. I can actually negotiate phase 2 as well if I put this in my ipsec.conf:</div>

<div style><br></div><div style><br></div><div style><div><font face="courier new, monospace">  leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></font></div><div><div><font face="courier new, monospace">  rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></font></div>

</div><div><br></div><div><br></div><div style>But after that, all connectivity is lost, because everything gets routed to the tunnel, including traffic to the remote gateway, I guess.</div><div style><br></div><div style>

So, I guess my question is this: is it possible to tell strongSwan not to do anything with the routing tables after negotiating phase1+2 successfully? I would like to manage routing myself after that.</div><div style><br>

</div><div style>There would be multiple remote sites, with connectivity between them through the strongSwan host. Some networks would have default routes to  the Internet through the ipsec tunnels. This is the tricky bit. A couple of endpoints have SonicWalls, and their "VPN Tunnel Interface" thingy seems like the only sensible option for this, because only that allows routing tables to be used to toss packets into ipsec tunnels.</div>

<div style><br></div><div style>Is this kind of setup possible with strongSwan?</div><div style><br></div><div style>I am using version 4.5.2 at the moment, with ikev1.</div><div style><br></div><div style>--</div><div style>

Mikko Kortelainen</div><div style><a href="mailto:mikko.kortelainen@techelp.fi">mikko.kortelainen@techelp.fi</a></div><div style><br></div><div><br></div></div></div>