
<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>Hello</div>


<div> </div>


<div>I am facing a problem with setting up a tunnel between a roadwarrior behind a NAT to an internet based ubuntu server:</div>


<div> </div>


<div>[roadwarrior (behind nat), strongswan 5.0.4] [>---> tunnel >--->] [ubuntu, strongswan 5.0.0]</div>


<div>ikev2, psk</div>


<div> </div>


<div>Please take a look at my log files, I get these errors:</div>


<div> </div>


<div>serverside:</div>


<div>Jun  6 09:16:15 kvm21729 charon: 16[IKE] traffic selectors 0.0.0.0/0 === 192.168.67.176/32  inacceptable<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] failed to establish CHILD_SA, keeping IKE_SA</div>


<div> </div>


<div>clientside:</div>


<div>14[IKE] received TS_UNACCEPTABLE notify, no CHILD_SA built<br/>

14[IKE] failed to establish CHILD_SA, keeping IKE_SA</div>


<div> </div>


<div>Do you know what to fix?</div>


<div>Are my ipsec.conf files OK?</div>


<div>Where do I find more information about TS_UNACCEPTABLE?</div>


<div> </div>


<div>Roadwarrior Config:</div>


<div>-------------------------------------------</div>


<div>

<div>conn %default<br/>

        ikelifetime=60m<br/>

        keylife=20m<br/>

        rekeymargin=3m<br/>

        keyingtries=1<br/>

        keyexchange=ikev2<br/>

        authby=secret</div>


<div>

<div>conn myconn<br/>

        left=%defaultroute<br/>

        leftid=myuser<br/>

        leftfirewall=no<br/>

        right=vpn.xxx.net<br/>

        rightsubnet=0.0.0.0/0<br/>

        type=tunnel<br/>

        auto=add</div>


<div>-------------------------------------------</div>


<div>Ubuntu Server Config:</div>

</div>


<div>

<div>conn mint<br/>

        ikelifetime=60m<br/>

        keylife=20m<br/>

        rekeymargin=3m<br/>

        keyingtries=1<br/>

        keyexchange=ikev2<br/>

        authby=secret<br/>

        left=%defaultroute<br/>

        leftfirewall=yes<br/>

        right=%any<br/>

        auto=add</div>


<div>-------------------------------------------</div>

</div>

</div>


<div> </div>


<div> </div>


<div> </div>


<div>Client Output</div>


<div>--------------------------</div>


<div>

<div>00[DMN] Starting IKE charon daemon (strongSwan 5.0.4, Linux 3.5.0-17-generic, i686)<br/>

00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'<br/>

00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'<br/>

00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'<br/>

00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'<br/>

00[CFG] loading crls from '/etc/ipsec.d/crls'<br/>

00[CFG] loading secrets from '/etc/ipsec.secrets'<br/>

00[CFG]   loaded IKE secret for %any<br/>

00[CFG]   loaded EAP secret for xxx<br/>

00[DMN] loaded plugins: charon aes des sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs8 pgp dnskey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic<br/>

00[JOB] spawning 16 worker threads<br/>

charon (2753) started after 220 ms<br/>

09[CFG] received stroke: add connection 'myconn'<br/>

09[CFG] left nor right host is our side, assuming left=local<br/>

09[CFG] added configuration 'myconn'<br/>

11[CFG] received stroke: initiate 'myconn'<br/>

12[IKE] initiating IKE_SA myconn[1] to 1xx.2xx.51.27<br/>

12[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br/>

12[NET] sending packet: from 192.168.67.176[500] to 1xx.2xx.51.27[500] (708 bytes)<br/>

13[NET] received packet: from 1xx.2xx.51.27[500] to 192.168.67.176[500] (440 bytes)<br/>

13[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br/>

13[IKE] local host is behind NAT, sending keep alives<br/>

13[IKE] authentication of 'myuser' (myself) with pre-shared key<br/>

13[IKE] establishing CHILD_SA myconn<br/>

13[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br/>

13[NET] sending packet: from 192.168.67.176[4500] to 1xx.2xx.51.27[4500] (412 bytes)<br/>

14[NET] received packet: from 1xx.2xx.51.27[4500] to 192.168.67.176[4500] (156 bytes)<br/>

14[ENC] parsed IKE_AUTH response 1 [ IDr AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(TS_UNACCEPT) ]<br/>

14[IKE] authentication of 'vpn.xxx.net' with pre-shared key successful<br/>

14[IKE] IKE_SA myconn[1] established between 192.168.67.176[id_xxx]...1xx.2xx.51.27[vpn.xxx.net]<br/>

14[IKE] scheduling reauthentication in 3241s<br/>

14[IKE] maximum IKE_SA lifetime 3421s<br/>

14[IKE] received TS_UNACCEPTABLE notify, no CHILD_SA built<br/>

14[IKE] failed to establish CHILD_SA, keeping IKE_SA<br/>

14[IKE] received AUTH_LIFETIME of 3312s, scheduling reauthentication in 3132s<br/>

14[IKE] peer supports MOBIKE<br/>

09[IKE] sending keep alive to 1xx.2xx.51.27[4500]</div>


<div>--------------------------</div>


<div>--------------------------</div>


<div>client --nofork output</div>


<div>--------------------------</div>


<div>

<div>initiating IKE_SA myconn[1] to 1xx.2xx.51.27<br/>

generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br/>

sending packet: from 192.168.67.176[500] to 1xx.2xx.51.27[500] (708 bytes)<br/>

received packet: from 1xx.2xx.51.27[500] to 192.168.67.176[500] (440 bytes)<br/>

parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br/>

local host is behind NAT, sending keep alives<br/>

authentication of 'myuser' (myself) with pre-shared key<br/>

establishing CHILD_SA myconn<br/>

generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br/>

sending packet: from 192.168.67.176[4500] to 1xx.2xx.51.27[4500] (412 bytes)<br/>

received packet: from 1xx.2xx.51.27[4500] to 192.168.67.176[4500] (156 bytes)<br/>

parsed IKE_AUTH response 1 [ IDr AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(TS_UNACCEPT) ]<br/>

authentication of 'vpn.xxx.net' with pre-shared key successful<br/>

IKE_SA myconn[1] established between 192.168.67.176[myuser]...1xx.2xx.51.27[vpn.xxx.net]<br/>

scheduling reauthentication in 3241s<br/>

maximum IKE_SA lifetime 3421s<br/>

received TS_UNACCEPTABLE notify, no CHILD_SA built<br/>

failed to establish CHILD_SA, keeping IKE_SA<br/>

establishing connection 'myconn' failed</div>


<div> </div>


<div>-------------------------------------------------------</div>


<div>-------------------------------------------------------</div>


<div>server - syslog</div>


<div>-------------------------------------------------------</div>


<div>

<div>Jun  6 09:16:15 kvm21729 charon: 16[CFG] looking for peer configs matching 1xx.2xx.51.27[vpn.xxx.net]...195.65.221.149[myuser]<br/>

Jun  6 09:16:15 kvm21729 kernel: [1850459.360251] [UFW AUDIT] IN=eth0 OUT= MAC=52:54:00:27:59:87:74:8e:f8:ce:9f:1e:08:00 SRC=195.65.221.149 DST=1xx.2xx.51.27 LEN=444 TOS=0x00 PREC=0x00 TTL=54 ID=0 DF PROTO=UDP SPT=43292 DPT=4500 LEN=424<br/>

Jun  6 09:16:15 kvm21729 kernel: [1850459.362679] [UFW AUDIT] IN= OUT=eth0 SRC=1xx.2xx.51.27 DST=91.227.204.227 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=52288 DF PROTO=UDP SPT=56795 DPT=53 LEN=47<br/>

Jun  6 09:16:15 kvm21729 kernel: [1850459.362689] [UFW ALLOW] IN= OUT=eth0 SRC=1xx.2xx.51.27 DST=91.227.204.227 LEN=67 TOS=0x00 PREC=0x00 TTL=64 ID=52288 DF PROTO=UDP SPT=56795 DPT=53 LEN=47<br/>

Jun  6 09:16:15 kvm21729 charon: 16[CFG] selected peer config 'mint'<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] authentication of 'myuser' with pre-shared key successful<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] peer supports MOBIKE<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] authentication of 'vpn.xxx.net' (myself) with pre-shared key<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] IKE_SA mint[5] established between 1xx.2xx.51.27[vpn.xxx.net]...195.65.221.149[myuser]<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] scheduling reauthentication in 3312s<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] maximum IKE_SA lifetime 3492s<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] traffic selectors 0.0.0.0/0 === 192.168.67.176/32  inacceptable<br/>

Jun  6 09:16:15 kvm21729 charon: 16[IKE] failed to establish CHILD_SA, keeping IKE_SA<br/>

Jun  6 09:16:15 kvm21729 charon: 16[ENC] generating IKE_AUTH response 1 [ IDr AUTH N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) N(TS_UNACCEPT) ]<br/>

Jun  6 09:16:15 kvm21729 charon: 16[NET] sending packet: from 1xx.2xx.51.27[4500] to 195.65.221.149[43292]<br/>

Jun  6 09:16:28 kvm21729 kernel: [1850472.218518] [UFW AUDIT] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:52:54:00:46:40:69:08:00 SRC=1xx.2xx.50.187 DST=255.255.255.255 LEN=117 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=5678 DPT=5678 LEN=97<br/>

Jun  6 09:16:28 kvm21729 kernel: [1850472.650618] [UFW AUDIT] IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:52:54:00:27:36:a1:08:00 SRC=1xx.2xx.50.137 DST=255.255.255.255 LEN=117 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=5678 DPT=5678 LEN=97</div>


<div> </div>

</div>


<div> </div>

</div>


<div> </div>

</div></div></body></html>