<div dir="ltr">Hi.<div><br></div><div>We need to connect to Checkpoint FW with the following configuration:</div><div><br></div><div><div>Phase 1<span class="" style="white-space:pre">  </span></div><div>Authentication Method<span class="" style="white-space:pre">      </span>pre-shared key</div>
<div>pre-shared key<span class="" style="white-space:pre">      </span>*********</div><div>Encryption Scheme<span class="" style="white-space:pre"> </span>IKE</div><div>Diffie-Hellman Group<span class="" style="white-space:pre">    </span>Group 2</div>
<div>Encryption Algorithm<span class="" style="white-space:pre">        </span>3DES</div><div>Hashing Algorithm<span class="" style="white-space:pre">      </span>Sha-1</div><div>Main or Aggressive Mode<span class="" style="white-space:pre">       </span>Main mode</div>
<div>Lifetime (for renegotiation)<span class="" style="white-space:pre">        </span>86400s</div><div><br></div><div>Phase 2<span class="" style="white-space:pre">     </span></div><div>Encapsulation (ESP or AH)<span class="" style="white-space:pre">  </span>ESP</div>
<div>Encryption Algorithm<span class="" style="white-space:pre">        </span>3DES</div><div>Authentication Algorithm<span class="" style="white-space:pre">       </span>Sha-1</div><div>Perfect Forward Secrecy<span class="" style="white-space:pre">       </span>NO PFS  </div>
<div>Lifetime (for renegotiation)<span class="" style="white-space:pre">        </span>3600s</div><div><br></div><div>Our configuration file is:</div><div><br></div><div><div>conn TMCO</div><div>        ikelifetime=86400s </div>
<div>        keylife=3600s</div><div>        keyexchange=ikev1</div><div>        authby=secret </div><div>        ike=3des-sha1-modp1024</div><div>        esp=3des-sha1</div><div>        left=x.x.x.x</div><div>        leftsubnet=<a href="http://192.168.15.0/24">192.168.15.0/24</a></div>
<div>        leftfirewall=yes</div><div>        leftsourceip=x.x.x.x</div><div>        right=y.y.y.y</div><div>        pfs=no</div></div><div><br></div><div>Whe I start strongswan I get this message in the console:</div><div>
<br></div><div><div># deprecated keyword 'pfs' in conn 'TMCO'</div><div>  PFS is enabled by specifying a DH group in the 'esp' cipher suite</div></div><div><br></div><div>Phase 1 is completed and I can see the security associations but I can't reach any host in the right part becase Strongswan is using PFS.</div>
<div><br></div><div>AFAIK I'm not setting dhgroup in esp (esp=3des-sha1) but Strongswan insists in enabling PFS.</div><div><br></div><div>How can I disable PFS?<br></div><div><br></div>-- <br><div dir="ltr"><div><div>
Sergio Samayoa</div><div>Systems Architect</div><div>email: <a href="mailto:sergiosamayoa@icon.com.gt" target="_blank">sergiosamayoa@icon.com.gt</a></div><div>Móvil: (502) 5917 7888<br></div></div><div>Skype: sergio.e.samayoa</div>
<div><br></div><img src="cid:image001.png@01CCFADF.958CB7A0" alt="A description...">
<div><br></div><div><a href="http://www.icon-americas.com" target="_blank">http://www.icon-americas.com</a></div></div>
</div></div>