<div dir="ltr">Hi Noel.<div><br></div><div>Thanks but I already tried that way but same result.</div><div><br></div><div>I tried:</div><div><br></div><div>esp=3des-sha1<br></div><div>esp=3des-sha1!<br></div><div>esp=3des-sha1-null<br>
</div><div>esp=3des-sha1-null!<br></div><div><br></div><div>But PFS seems still enabled.</div><div><br></div><div>Regards.</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
2013/12/9 Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div>Hello Sergio,<br>
<br>
You do this by using "esp=3des-sha1!".<br>
Note the "!" At the end, telling strongswan to only send this proposal when negotiating phase 2.<br>
Also remove the "pfs" line, as it's deprecated. <br>
<br>
Regards<br>
Noel Kuntze<br><br><div class="gmail_quote"><br>
<br>
Sergio Samayoa <<a href="mailto:sergiosamayoa@icon.com.gt" target="_blank">sergiosamayoa@icon.com.gt</a>> schrieb:<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div><div class="h5">
<div dir="ltr">Hi.<div><br></div><div>We need to connect to Checkpoint FW with the following configuration:</div><div><br></div><div><div>Phase 1<span style="white-space:pre-wrap"> </span></div><div>Authentication Method<span style="white-space:pre-wrap"> </span>pre-shared key</div>

<div>pre-shared key<span style="white-space:pre-wrap"> </span>*********</div><div>Encryption Scheme<span style="white-space:pre-wrap"> </span>IKE</div><div>Diffie-Hellman Group<span style="white-space:pre-wrap"> </span>Group 2</div>

<div>Encryption Algorithm<span style="white-space:pre-wrap"> </span>3DES</div><div>Hashing Algorithm<span style="white-space:pre-wrap"> </span>Sha-1</div><div>Main or Aggressive Mode<span style="white-space:pre-wrap"> </span>Main mode</div>

<div>Lifetime (for renegotiation)<span style="white-space:pre-wrap"> </span>86400s</div><div><br></div><div>Phase 2<span style="white-space:pre-wrap"> </span></div><div>Encapsulation (ESP or AH)<span style="white-space:pre-wrap"> </span>ESP</div>

<div>Encryption Algorithm<span style="white-space:pre-wrap"> </span>3DES</div><div>Authentication Algorithm<span style="white-space:pre-wrap"> </span>Sha-1</div><div>Perfect Forward Secrecy<span style="white-space:pre-wrap"> </span>NO PFS  </div>

<div>Lifetime (for renegotiation)<span style="white-space:pre-wrap"> </span>3600s</div><div><br></div><div>Our configuration file is:</div><div><br></div><div><div>conn TMCO</div><div>        ikelifetime=86400s </div>
<div>        keylife=3600s</div><div>        keyexchange=ikev1</div><div>        authby=secret </div><div>        ike=3des-sha1-modp1024</div><div>        esp=3des-sha1</div><div>        left=x.x.x.x</div><div>        leftsubnet=<a href="http://192.168.15.0/24" target="_blank">192.168.15.0/24</a></div>

<div>        leftfirewall=yes</div><div>        leftsourceip=x.x.x.x</div><div>        right=y.y.y.y</div><div>        pfs=no</div></div><div><br></div><div>Whe I start strongswan I get this message in the console:</div>
<div>
<br></div><div><div># deprecated keyword 'pfs' in conn 'TMCO'</div><div>  PFS is enabled by specifying a DH group in the 'esp' cipher suite</div></div><div><br></div><div>Phase 1 is completed and I can see the security associations but I can't reach any host in the right part becase Strongswan is using PFS.</div>

<div><br></div><div>AFAIK I'm not setting dhgroup in esp (esp=3des-sha1) but Strongswan insists in enabling PFS.</div><div><br></div><div>How can I disable PFS?<br></div><div><br></div>-- <br><div dir="ltr"><div><div>

Sergio Samayoa</div><div>Systems Architect</div><div>email: <a href="mailto:sergiosamayoa@icon.com.gt" target="_blank">sergiosamayoa@icon.com.gt</a></div><div>Móvil: (502) 5917 7888<br></div></div><div>Skype: sergio.e.samayoa</div>

<div><br></div><img alt="A description...">
<div><br></div><div><a href="http://www.icon-americas.com" target="_blank">http://www.icon-americas.com</a></div></div>
</div></div>
<p style="margin-top:2.5em;margin-bottom:1em;border-bottom:1px solid #000"></p></div></div><pre><hr><br>Users mailing list<br><a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a></pre></blockquote></div><span class="HOEnZb"><font color="#888888"><br>
-- <br>
Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet.</font></span></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr"><div><div>Sergio Samayoa</div><div>Systems Architect</div>
<div>email: <a href="mailto:sergiosamayoa@icon.com.gt" target="_blank">sergiosamayoa@icon.com.gt</a></div><div>Móvil: (502) 5917 7888<br></div></div><div>Skype: sergio.e.samayoa</div><div><br></div><img src="cid:image001.png@01CCFADF.958CB7A0" alt="A description...">
<div><br></div><div><a href="http://www.icon-americas.com" target="_blank">http://www.icon-americas.com</a></div></div>
</div>