<div><br /><br />Hi <br /><br />We have a Strongswan 5.1.2 vpn to Sonicwall 5500.<br /><br />When we initiate the VPN from the Strongswan end we get a "received INVALID_SYNTAX notify error".<br /><br />However when we initiate it from the Sonicwall end all is well.<br /><br />Can anyone see why we are getting the INVALID_SYNTAX notify error.<br /><br />Details are provided below.<br /><br /></div>
<div></div>
<div>regards</div>
<div></div>
<div>Harvinder<br /><br /><br />Initiate VPN from Strongswan end.<br /><br />ipsec up data-center<br /><br />Here is the output from the charon.log<br /><br />Apr 14 14:17:45 06[CFG] received stroke: initiate 'data-center'<br />Apr 14 14:17:45 09[IKE] <data-center|6> initiating IKE_SA data-center[6] to xxx.xxx.xxx.34<br />Apr 14 14:17:45 09[ENC] <data-center|6> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br />Apr 14 14:17:45 09[NET] <data-center|6> sending packet: from xxx.xxx.xxx.156[500] to xxx.xxx.xxx.34[500] (536 bytes)<br />Apr 14 14:17:45 08[NET] <data-center|6> received packet: from xxx.xxx.xxx.34[500] to xxx.xxx.xxx.156[500] (317 bytes)<br />Apr 14 14:17:45 08[ENC] <data-center|6> parsed IKE_SA_INIT response 0 [ SA KE No CERTREQ N(NATD_S_IP) N(NATD_D_IP) V ]<br />Apr 14 14:17:45 08[ENC] <data-center|6> received unknown vendor ID: 2a:67:75:d0:ad:2a:a7:88:7c:33:fe:1d:68:ba:f3:08:96:6f:00:01<br />Apr 14 14:17:45 08[IKE] <data-center|6> authentication of 'xxx.xxx.xxx.156' (myself) with pre-shared key<br />Apr 14 14:17:45 08[IKE] <data-center|6> establishing CHILD_SA data-center<br />Apr 14 14:17:45 08[ENC] <data-center|6> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH CPRQ(ADDR DNS) SA TSi TSr N(EAP_ONLY) ]<br />Apr 14 14:17:45 08[NET] <data-center|6> sending packet: from xxx.xxx.xxx.156[500] to xxx.xxx.xxx.34[500] (524 bytes)<br />Apr 14 14:17:46 13[NET] <data-center|6> received packet: from xxx.xxx.xxx.34[500] to xxx.xxx.xxx.156[500] (68 bytes)<br />Apr 14 14:17:46 13[ENC] <data-center|6> parsed IKE_AUTH response 1 [ N(INVAL_SYN) ]<br />Apr 14 14:17:46 13[IKE] <data-center|6> received INVALID_SYNTAX notify error<br /><br /><br />However, If the Sonicwall initates the VPN all is well and we are able to use the tunnels created.<br />The ouput from the charon.log is:<br /><br />Apr 14 15:10:40 15[NET] received packet: from xxx.xxx.xxx.34[500] to xxx.xxx.xxx.156[500] (312 bytes)<br />Apr 14 15:10:40 15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V ]<br />Apr 14 15:10:40 15[ENC] received unknown vendor ID: 2a:67:75:d0:ad:2a:a7:88:7c:33:fe:1d:68:ba:f3:08:96:6f:00:01<br />Apr 14 15:10:40 15[IKE] xxx.xxx.xxx.34 is initiating an IKE_SA<br />Apr 14 15:10:40 15[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br />Apr 14 15:10:40 15[NET] sending packet: from xxx.xxx.xxx.156[500] to xxx.xxx.xxx.34[500] (308 bytes)<br />Apr 14 15:10:40 05[NET] received packet: from xxx.xxx.xxx.34[500] to xxx.xxx.xxx.156[500] (196 bytes)<br />Apr 14 15:10:40 05[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ AUTH SA TSi TSr N(INIT_CONTACT) ]<br />Apr 14 15:10:40 05[CFG] looking for peer configs matching xxx.xxx.xxx.156[%any]...xxx.xxx.xxx.34[xxx.xxx.xxx.34]<br />Apr 14 15:10:40 05[CFG] selected peer config 'data-center'<br />Apr 14 15:10:40 05[IKE] authentication of 'xxx.xxx.xxx.34' with pre-shared key successful<br />Apr 14 15:10:40 05[IKE] authentication of 'xxx.xxx.xxx.156' (myself) with pre-shared key<br />Apr 14 15:10:40 05[IKE] IKE_SA data-center[2] established between xxx.xxx.xxx.156[xxx.xxx.xxx.156]...xxx.xxx.xxx.34[xxx.xxx.xxx.34]<br />Apr 14 15:10:40 05[IKE] scheduling reauthentication in 86209s<br />Apr 14 15:10:40 05[IKE] maximum IKE_SA lifetime 86389s<br /><br />Our config for this VPN is:<br /><br />strongswan.conf<br /><br />charon {<br />        cisco_unity = yes<br /><br />        # number of worker threads in charon<br />        threads = 16<br /><br />        # send strongswan vendor ID?<br />        # send_vendor_id = yes<br />        #install_routes = no<br /><br />        plugins {<br /><br />                sql {<br />                        # loglevel to log into sql database<br />                        loglevel = -1<br /><br />                        # URI to the database<br />                        # database = sqlite:///path/to/file.db<br />                        # database = mysql://user:password@localhost/database<br />                }<br />        }<br /><br />        # ...<br />      filelog {<br />            /var/log/charon.log {<br />            # loggers to files also accept the append option to open files in<br />            # append mode at startup (default is yes)<br />            #append = no<br />            # the default loglevel for all daemon subsystems (defaults to 1).<br />            #default = 2<br />            time_format = %b %e %T<br />            ike_name = yes<br />            flush_line = yes<br />            }<br /><br />ipsec.conf<br /># ipsec.conf - strongSwan IPsec configuration file<br /><br />config setup<br />        #cachecrls=yes<br />        strictcrlpolicy=no<br /><br /><br />conn %default<br />        ikelifetime=60m<br />        keylife=20m<br />        rekeymargin=3m<br />        keyingtries=1<br />        keyexchange=ikev2<br />        authby=secret<br /><br />include /etc/ipsec.d/conns/*.conf<br /><br /><br />data-center.conf<br /><br />conn data-center<br />        left=xxx.xxx.xxx.156<br />        leftsubnet=10.0.33.0/24<br />        #leftfirewall=yes<br />        #rightsendcert=no<br />        lefthostaccess=yes<br />        leftsourceip=10.0.33.17<br />        right=xxx.xxx.xxx.34<br />        rightsubnet=192.35.1.51/32,192.35.1.52/32,192.35.1.53/32,10.19.52.52/32,10.19.52.53/32,10.19.52.60/32<br />        authby=secret<br />        keyexchange=ikev2<br />        keyingtries=%forever<br />        ike=3des-md5-modp1024<br />        esp=3des-md5-modp1024<br />        ikelifetime=86400s<br />        keylife=3600s<br />        mobike=no<br />        auto=add<br /><br /><br /></div>