<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body smarttemplateinserted="true" bgcolor="#FFFFFF" text="#000000">

<div id="smartTemplate4-template">I thought I would try one more time.  I really would appreciate any pointers.  I went ahead and updated to 5.1.1 release thinking the DR4 release may not be completely supported.<br>

<br>

Here is my ipsec statusall output:<br>

[root@vpc2-ipsec-1-121 strongswan]# ipsec statusall<br>

Status of IKE charon daemon (strongSwan 5.1.1, Linux 2.6.32-358.2.1.el6.x86_64, x86_64):<br>

  uptime: 2 minutes, since Nov 20 13:52:51 2013<br>

  malloc: sbrk 270336, mmap 0, used 201872, free 68464<br>

  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 10<br>

  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic<br>

Listening IP addresses:<br>

  10.201.1.121<br>

Connections:<br>

dc-tunnel01:  10.201.1.121...204.77.193.133  IKEv1<br>

dc-tunnel01:   local:  [aws] uses pre-shared key authentication<br>

dc-tunnel01:   remote: [dc] uses pre-shared key authentication<br>

dc-tunnel01:   child:  10.201.0.0/22 === 10.10.0.0/16 TUNNEL<br>

school-tunnel02:  10.201.1.121...A.B.C.D  IKEv1<br>

school-tunnel02:   local:  [wepa] uses pre-shared key authentication<br>

school-tunnel02:   remote: [A.B.C.D] uses pre-shared key authentication<br>

school-tunnel02:   child:  10.201.0.0/16 === A.B.C.0/24 TUNNEL<br>

school-tunnel03:  10.201.1.121...G.H.I.J  IKEv1<br>

school-tunnel03:   local:  [wepa] uses pre-shared key authentication<br>

school-tunnel03:   remote: [G.H.I.J] uses pre-shared key authentication<br>

school-tunnel03:   child:  10.201.0.0/22 === 172.27.7.0/24 TUNNEL<br>

school-tunnel04:  10.201.1.121...L.M.N.O  IKEv1<br>

school-tunnel04:   local:  [wepa] uses pre-shared key authentication<br>

school-tunnel04:   remote: [L.M.N.O] uses pre-shared key authentication<br>

school-tunnel04:   child:  192.168.188.0/22 === 172.20.2.0/24 TUNNEL<br>

Routed Connections:<br>

dc-tunnel01{1}:  ROUTED, TUNNEL<br>

dc-tunnel01{1}:   10.201.0.0/22 === 10.10.0.0/16 <br>

Security Associations (4 up, 0 connecting):<br>

dc-tunnel01[4]: ESTABLISHED 93 seconds ago, 10.201.1.121[aws]...204.77.193.133[gilbert]<br>

dc-tunnel01[4]: IKEv1 SPIs: f130b99c344b2deb_i 948e983c6feb86e9_r*, pre-shared key reauthentication in 53 minutes<br>

dc-tunnel01[4]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>

dc-tunnel01{1}:  INSTALLED, TUNNEL, ESP in UDP SPIs: c9c97a6b_i cf00946b_o<br>

dc-tunnel01{1}:  3DES_CBC/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 12 minutes<br>

dc-tunnel01{1}:   10.201.0.0/22 === 10.10.0.0/16 <br>

<b>school-tunnel04[3]: ESTABLISHED 2 minutes ago, 10.201.1.121[wepa]...L.M.N.O[L.M.N.O]</b><b><br>

</b><b>school-tunnel04[3]: IKEv1 SPIs: e8d908dbebef71ee_i* 39ae2a7972d03430_r, pre-shared key reauthentication in 10 hours</b><b><br>

</b><b>school-tunnel04[3]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024</b><b><br>

</b><b>school-tunnel04[3]: Tasks queued: QUICK_MODE </b><b><br>

</b>school-tunnel03[2]: ESTABLISHED 2 minutes ago, 10.201.1.121[wepa]...G.H.I.J[G.H.I.J]<br>

school-tunnel03[2]: IKEv1 SPIs: 654a4f9d9ba643ae_i* 3a4d80763e673a4b_r, pre-shared key reauthentication in 10 hours<br>

school-tunnel03[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>

school-tunnel03{3}:  INSTALLED, TUNNEL, ESP in UDP SPIs: cc7a6b43_i 55565a5f_o<br>

school-tunnel03{3}:  3DES_CBC/HMAC_MD5_96, 13093 bytes_i (35 pkts, 3s ago), 4692 bytes_o (46 pkts, 3s ago), rekeying in 9 hours<br>

school-tunnel03{3}:   10.201.0.0/22 === 172.27.7.0/24 <br>

school-tunnel02[1]: ESTABLISHED 2 minutes ago, 10.201.1.121[wepa]...A.B.C.D[A.B.C.D]<br>

school-tunnel02[1]: IKEv1 SPIs: cd6dbc7050d3e0ad_i* 66bb99037e6279f7_r, rekeying disabled<br>

school-tunnel02[1]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>

school-tunnel02{2}:  INSTALLED, TUNNEL, ESP in UDP SPIs: c60bb77f_i 2621b073_o<br>

school-tunnel02{2}:  3DES_CBC/HMAC_SHA1_96, 13854 bytes_i (40 pkts, 17s ago), 3645 bytes_o (38 pkts, 17s ago), rekeying disabled<br>

school-tunnel02{2}:   10.201.0.0/16 === A.B.C.0/24 <br>

<br>

As you can see, I am having issues with school-tunnel04.  It gets stuck with "Tasks queued: QUICK_MODE".  It doesn't progress any further.<br>

<br>

Here are the relevant logs.<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 02[CFG] received stroke: initiate 'school-tunnel04'<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 08[IKE] initiating Main Mode IKE_SA school-tunnel04[6] to L.M.N.O<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 08[ENC] generating ID_PROT request 0 [ SA V V V V ]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 08[NET] sending packet: from 10.201.1.121[500] to L.M.N.O[500] (152 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 09[NET] received packet: from L.M.N.O[500] to 10.201.1.121[500] (120 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 09[ENC] parsed ID_PROT response 0 [ SA V V ]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 09[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 09[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 09[NET] sending packet: from 10.201.1.121[500] to L.M.N.O[500] (236 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[NET] received packet: from L.M.N.O[500] to 10.201.1.121[500] (296 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[ENC] parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[IKE] received XAuth vendor ID<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[IKE] received DPD vendor ID<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[IKE] received Cisco Unity vendor ID<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[ENC] received unknown vendor ID: c5:f3:77:6f:47:9c:d8:9a:a2:0d:25:5e:45:32:54:e2<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[IKE] local host is behind NAT, sending keep alives<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[ENC] generating ID_PROT request 0 [ ID HASH ]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 01[NET] sending packet: from 10.201.1.121[4500] to L.M.N.O[4500] (68 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 16[NET] received packet: from L.M.N.O[4500] to 10.201.1.121[4500] (68 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 16[ENC] parsed ID_PROT response 0 [ ID HASH ]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 16[IKE] IKE_SA school-tunnel04[6] established between 10.201.1.121[wepa]...L.M.N.O[L.M.N.O]<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 16[IKE] scheduling reauthentication in 37340s<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 16[IKE] maximum IKE_SA lifetime 40940s<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 13[NET] received packet: from L.M.N.O[4500] to 10.201.1.121[4500] (84 bytes)<br>

Nov 20 14:08:03 vpc2-ipsec-1-121 charon: 13[ENC] parsed INFORMATIONAL_V1 request 3028044190 [ HASH N(INITIAL_CONTACT) ]<br>

<br>

<br>

Previously, it was stuck with the Tasks active: QUICK_MODE, until I added into the config leftsourceip=%config and leftmode=pushmode.  The remote peer is a PIX which I have the config for if anyone would be so kind to assist me in getting this tunnel up.<br>

Here is the relevant section of the ipsec.conf file:<br>

<br>

conn school-tunnel04<br>

        type=tunnel<br>

        auto=start<br>

        keyexchange=ikev1<br>

        ikelifetime=12h<br>

        lifetime=11h<br>

        margintime=1h<br>

        rekeyfuzz=100%<br>

        authby=secret<br>

        ike=3des-md5-modp1024!<br>

        esp=3des-md5!<br>

        left=10.201.1.121<br>

        leftsourceip=%config<br>

        modeconfig=push<br>

        leftid=wepa<br>

        leftsubnet=192.168.188.0/22<br>

        leftfirewall=yes<br>

        right=L.M.N.O<br>

        rightid=L.M.N.O<br>

        rightsubnet=172.20.2.0/24<br>

<br>

<br>

Since all of my other tunnels work and none of the others require NAT on both ends (remote and local), I am guessing my config is incorrect for setting up the NAT within strongswan.  I need local to be 192.168.188.0/22 although the true private IPs are 10.201.0.0/16

 and the remote to be 172.20.2.0/24 although it is 10.2.1.0/24.  They are using an entire class A 10. subnet on their side, so I am having to create the NAT somewhere.  We have a tunnel PIX <-> PIX, but this is for our DR site within Amazon AWS, and I need

 to get it transferred over ASAP to strongSwan.<br>

<br>

I truly appreciate any assistance that you can be.<br>

<br>

Sincerely,<br>

Izz<br>

<br>

<br>

<b>Izz Abdullah</b><br>

<i>Senior Systems Engineer</i><br>

<a href="mailto:izz.abdullah@wepanow.com">Izz.Abdullah@wepanow.com</a><br>

<a class="moz-txt-link-abbreviated" href="http://www.wepanow.com">www.wepanow.com</a><br>

<br>

 </div>

<br>

<div id="smartTemplate4-quoteHeader">

<hr>

<br>

<b>From:</b> Izz Abdullah <a class="moz-txt-link-rfc2396E" href="mailto:izz.abdullah@wepanow.com">

<izz.abdullah@wepanow.com></a><br>

<b>Sent:</b> Wednesday, November 20, 2013 08:39<br>

<b>To:</b> <a class="moz-txt-link-abbreviated" href="mailto:users@lists.strongswan.org">

users@lists.strongswan.org</a> <a class="moz-txt-link-rfc2396E" href="mailto:users@lists.strongswan.org">

<users@lists.strongswan.org></a><br>

<b>Subject: </b>[strongSwan] Tunnel stuck in QUICK_MODE queued task<br>

<br>

</div>

<blockquote cite="mid:DDC89076AFD9CE4CAF815050B6FC67BD9C812A@ORD2MBX09B.mex05.mlsrvr.com" type="cite">

<div id="smartTemplate4-template">Any ideas?  I made the changes as requested to the ipsec.conf for this particular connection by adding:<br>

leftsourceip=%config<br>

modeconfig=push<br>

<br>

and that has changed the state a little, as shown below, but not it is just queuing QUICK_MODE and never completely establishes the tunnel.<br>

<br>

Thanks again...<br>

<br>

<b>Izz Abdullah</b><br>

<i>Senior Systems Engineer</i><br>

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="http://www.wepanow.com">www.wepanow.com</a><br>

<div style="line-height:50%"> </div>

<br>

</div>

<br>

<div id="smartTemplate4-quoteHeader">

<hr>

<br>

<b>From:</b> Izz Abdullah <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:izz.abdullah@wepanow.com">

<izz.abdullah@wepanow.com></a><br>

<b>Sent:</b> Friday, November 15, 2013 08:42<br>

<b>To:</b> <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:users@lists.strongswan.org">

users@lists.strongswan.org</a> <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:users@lists.strongswan.org">

<users@lists.strongswan.org></a><br>

<b>Subject: </b>Re: [strongSwan] Tunnel stuck in QUICK_MODE active task<br>

<br>

</div>

<blockquote cite="mid:DDC89076AFD9CE4CAF815050B6FC67BD9C4F4A@ORD2MBX09B.mex05.mlsrvr.com" type="cite">

<div id="smartTemplate4-template">That made a difference.  The tunnel is staying up, but after Phase1, it appears it never reaches phase2 now.  Here are the logs now:<br>

<br>

Nov 15 08:32:40 vpc2-ipsec-1-121 charon: 09[ENC] parsed ID_PROT response 0 [ ID HASH ]<br>

Nov 15 08:32:40 vpc2-ipsec-1-121 charon: 09[IKE] IKE_SA school-tunnel04[5] established between 10.201.50.70[wepa]...W.X.Y.Z[W.X.Y.Z]<br>

Nov 15 08:32:40 vpc2-ipsec-1-121 charon: 09[IKE] scheduling reauthentication in 37753s<br>

Nov 15 08:32:40 vpc2-ipsec-1-121 charon: 09[IKE] maximum IKE_SA lifetime 41353s<br>

Nov 15 08:32:40 vpc2-ipsec-1-121 charon: 09[NET] received packet: from W.X.Y.Z[4500] to 10.201.50.70[4500] (84 bytes)<br>

Nov 15 08:32:40 vpc2-ipsec-1-121 charon: 09[ENC] parsed INFORMATIONAL_V1 request 2078815867 [ HASH N(INITIAL_CONTACT) ]<br>

<br>

I may be wrong in my terminology of reaching phase 2, it is in ENC log where strongSwan parses out an INITIAL_CONTACT message from the PIX.  Anyway, this is it.  After this, only keep alives are sent back and forth. The tunnel never fully establishes and ipsec

 statusall has QUICK_MODE as queued:<br>

<br>

school-tunnel04[5]: ESTABLISHED 4 minutes ago, 10.201.50.70[wepa]...W.X.Y.Z[W.X.Y.Z]<br>

school-tunnel04[5]: IKEv1 SPIs: c3bb079f944f4a7d_i* b92d2bd072d03430_r, pre-shared key reauthentication in 10 hours<br>

school-tunnel04[5]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024<br>

school-tunnel04[5]: Tasks queued: QUICK_MODE <br>

<br>

<br>

I can bring the tunnel down with ipsec down school-tunnel04 now, instead of that queuing like before, but still no tunnel.  I apologize for the n00b questions, but appreciate your assistance.  I can't change the configuration of the PIX.  It is one of our customers,

 and they have probably 20 VPNs and a lot of routing and NAT'ing within it.  We have another VPN connection to them from our primary datacenter, but it is a PIX on this end.  Since we are setting up our DR in Amazon AWS, I have opted to use strongSwan for all

 of our tunnels.  For our other tunnels, I've very little issue and no issue to this affect in setting up the tunnel.<br>

<br>

Thanks again,<br>

Izz<br>

<br>

<b>Izz Abdullah</b><br>

<i>Senior Systems Engineer</i><br>

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="http://www.wepanow.com">www.wepanow.com</a><br>

<div style="line-height:50%"> </div>

<img moz-do-not-send="true" alt="" src="cid:part1.04000301.05050706@wepanow.com" <br=""><br>

 </div>

<br>

<div id="smartTemplate4-quoteHeader">

<hr>

<br>

<b>From:</b> Izz Abdullah <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:izz.abdullah@wepanow.com">

<izz.abdullah@wepanow.com></a><br>

<b>Sent:</b> Friday, November 15, 2013 06:25<br>

<b>To:</b> Martin Willi <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:martin@strongswan.org">

<martin@strongswan.org></a><br>

<b>Cc:</b> <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:users@lists.strongswan.org">

users@lists.strongswan.org</a> <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:users@lists.strongswan.org">

<users@lists.strongswan.org></a><br>

<b>Subject: </b>Re: [strongSwan] Tunnel stuck in QUICK_MODE active task<br>

<br>

</div>

<meta name="Generator" content="Microsoft Exchange Server">

<!-- converted from text --><style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>

<div>

<div>Thanks for your reply Martin. I'll try this as soon as I reach the office and report back.</div>

<div><br>

</div>

<div><br>

</div>

--

<div><b><i>Izz</i></b></div>

<div><i>Sent using Android�</i></div>

<br>

<br>

<br>

-------- Original message --------<br>

From: Martin Willi <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:martin@strongswan.org">

<martin@strongswan.org></a> <br>

Date: 11/15/2013 3:08 AM (GMT-06:00) <br>

To: Izz Abdullah <a moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="mailto:izz.abdullah@wepanow.com">

<izz.abdullah@wepanow.com></a> <br>

Cc: <a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:users@lists.strongswan.org">

users@lists.strongswan.org</a> <br>

Subject: Re: [strongSwan] Tunnel stuck in QUICK_MODE active task <br>

<br>

<br>

</div>

<font size="2"><span style="font-size:10pt;">

<div class="PlainText">Hi,<br>

<br>

> 03[ENC] generating QUICK_MODE request 1871762211 [ HASH SA No ID ID ]<br>

> 03[NET] sending packet: from 10.201.50.70[4500] to W.X.Y.Z[4500] (172 bytes)<br>

<br>

> 14[NET] received packet: from W.X.Y.Z[4500] to 10.201.50.70[4500] (76 bytes)<br>

> 14[IKE] queueing TRANSACTION request as tasks still active<br>

<br>

The strongSwan initiator creates a Quick Mode, but the PIX does not<br>

expect that. Instead, it seems that it wants to do a Mode Config<br>

exchange in Push Mode first. Mode Config TRANSACTION exchanges always<br>

have to complete before you can create any Quick Modes, hence the<br>

configurations have to match on both sides.<br>

<br>

We have support for push mode starting with 5.1.1. If you want to use a<br>

Mode Config exchange (i.e. assign a virtual IP to the initiator), you<br>

may try to set:<br>

<br>

  leftsourceip=%config<br>

  modeconfig=push<br>

<br>

If you don't need any Mode Config, you may try to disable that on the<br>

PIX.<br>

<br>

Regards<br>

Martin<br>

<br>

</div>

</span></font><br>

<fieldset class="mimeAttachmentHeader"></fieldset> <br>

<pre wrap="">_______________________________________________

Users mailing list

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a></pre>

<br>

<br>

<fieldset class="mimeAttachmentHeader"></fieldset> <br>

<pre wrap="">_______________________________________________

Users mailing list

<a moz-do-not-send="true" class="moz-txt-link-abbreviated" href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>

<a moz-do-not-send="true" class="moz-txt-link-freetext" href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a></pre>

</blockquote>

<br>

<br>

<fieldset class="mimeAttachmentHeader"></fieldset> <br>

<pre wrap="">_______________________________________________

Users mailing list

<a class="moz-txt-link-abbreviated" href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>

<a class="moz-txt-link-freetext" href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a></pre>

</blockquote>

<br>

</body>

</html>