
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Exchange Server">

<!-- converted from rtf -->

<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>

</head>

<body>

<font face="Calibri" size="2"><span style="font-size:11pt;">

<div>Hi,</div>

<div> </div>

<div>We are seeing a problem with traffic selector narrowing scenario.</div>

<div> </div>

<div>“rightsubnet” on Sec-GW-1 has larger subnet compared to the “leftsubnet” on Sec-GW-2, But</div>

<div>“*protoport” fields on Sec-GW-2  has wider range(any) compared to Sec-GW-1.</div>

<div> </div>

<div>With this configuration ESP tunnel establishment fails with “traffic selector unacceptable” .</div>

<div>It works if the “*protoport” on both sides is same.</div>

<div>Also we observed that if both the “ip addres and protocol/port” ranges are wider on sec-GW-1 then it works.</div>

<div> </div>

<div>Could you please explain the rationale behind this behavior ?</div>

<div> </div>

<table width="798" style="width:478.8pt;">

<col width="399" style="width:239.4pt;">

<col width="399" style="width:239.4pt;">

<tr>

<td><font size="4"><span style="font-size:14pt;"><b>Configuration on Sec-GW-1</b></span></font></td>

<td><font size="4"><span style="font-size:14pt;"><b>Configuration on Sec-GW-2</b></span></font></td>

</tr>

<tr>

<td>conn conn6

<div>  type=tunnel</div>

<div><b>  leftsubnet=30.30.30.30/32</b></div>

<div><b>  </b><font color="red"><b>rightsubnet=11.0.0.0/16</b></font></div>

<div>  left=30.30.30.30</div>

<div>  right=30.30.30.31</div>

<div>  keyexchange=ikev2</div>

<div>  authby=psk</div>

<div>  reauth=no</div>

<div>  ike=aes128-sha1-modp1024,3des-sha1-modp1024!</div>

<div>  ikelifetime=864000</div>

<div>  pfs=no</div>

<div>  esp=3des-sha1!</div>

<div>  keylife=86400</div>

<div>  dpdaction=clear</div>

<div>  dpddelay=10</div>

<div><font color="red"><b>  leftprotoport=1</b></font></div>

<div><font color="red"><b>  rightprotoport=1</b></font></div>

<div>  rekeyfuzz=100%</div>

<div>  rekeymargin=540s</div>

<div> </div>

</td>

<td>conn conn6

<div>  type=tunnel</div>

<div><b>  rightsubnet=30.30.30.30/32</b></div>

<div><b>  </b><font color="red"><b>leftsubnet=11.0.1.0/24</b></font></div>

<div>  right=30.30.30.30</div>

<div>  left=30.30.30.31</div>

<div>  keyexchange=ikev2</div>

<div>  authby=psk</div>

<div>  reauth=no</div>

<div>  ike=aes128-sha1-modp1024,3des-sha1-modp1024!</div>

<div>  ikelifetime=86400</div>

<div>  pfs=no</div>

<div>  esp=3des-sha1!</div>

<div>  keylife=28800</div>

<div>  dpdaction=clear</div>

<div>  dpddelay=10</div>

<div><font color="red"><b>  rightprotoport=any</b></font></div>

<div><font color="red"><b>  leftprotoport=any</b></font></div>

<div>  rekeyfuzz=100%</div>

<div>  rekeymargin=540s</div>

<div> </div>

</td>

</tr>

<tr>

<td></td>

<td></td>

</tr>

</table>

<div> </div>

<div>BR,</div>

<div>Shashidhar</div>

<div> </div>

</span></font>

</body>

</html>