<span style="font-family: Arial; font-size: 13px;">Replying to my own message again - I sorted the issue, it was a problem with the traffic selectors. "ipsec stroke loglevel cfg 4" allowed me to id the problem.<br><br>On 22/9/2014 at 2:03 PM, cellkites@hushmail.com wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><span style="font-family:Arial;font-size:13px;">Ok, well kind of replying to my own question here but i seem to have progressed a little further. By removing the rightid parameter it selects the correct config and reports the SA as established but it never moves to an installed state and i receive the following log messages. Does anyone have any ideas where the problem might lie?<br><br>conn test<br>        keyexchange=ikev1<br>        left=x.x.x.x<br>        leftsubnet=0.0.0.0/0<br>        leftfirewall=yes<br>        right=%any<br>        rightsourceip=192.168.1.0/24<br>        auto=add<br>        compress=yes<br>        ike=aes128-sha1-modp1024!<br>        esp=aes128-sha1!<br>        leftauth=psk<br>        rightauth=psk<br>        type=tunnel<br><br>charon: 16[NET] received packet: from y.y.y.y[500] to x.x.x.x[500] (164 bytes)<br>charon: 16[ENC] parsed ID_PROT request 0 [ SA V V V V ]<br>charon: 16[IKE] received NAT-T (RFC 3947) vendor ID<br>charon: 16[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID<br>charon: 16[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br>charon:16[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID<br>charon: 16[IKE] y.y.y.y is initiating a Main Mode IKE_SA<br>charon: 16[ENC] generating ID_PROT response 0 [ SA V V V ]<br>charon: 16[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (136 bytes)<br>charon: 15[NET] received packet: from y.y.y.y[500] to x.x.x.x[500] (228 bytes)<br>charon: 15[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]<br>charon: 15[IKE] local host is behind NAT, sending keep alives<br>charon: 15[IKE] remote host is behind NAT<br>charon: 15[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]<br>charon: 15[NET] sending packet: from x.x.x.x[500] to y.y.y.y[500] (244 bytes)<br>charon: 11[NET] received packet: from y.y.y.y[4500] to x.x.x.x[4500] (76 bytes)<br>charon: 11[ENC] parsed ID_PROT request 0 [ ID HASH ]<br>charon: 11[CFG] looking for pre-shared key peer configs matching x.x.x.x...y.y.y.y[z.z.z.z]<br>charon: 11[CFG] selected peer config "test"<br>charon: 11[IKE] IKE_SA test[4331] established between x.x.x.x[x.x.x.x]...y.y.y.y[z.z.z.z]<br>charon: 11[IKE] scheduling reauthentication in 3244s<br>charon: 11[IKE] maximum IKE_SA lifetime 3424s<br>charon: 11[ENC] generating ID_PROT response 0 [ ID HASH ]<br>charon: 11[NET] sending packet: from x.x.x.x[4500] to y.y.y.y[4500] (76 bytes)<br>charon: 09[NET] received packet: from y.y.y.y[4500] to x.x.x.x[4500] (92 bytes)<br>charon: 09[ENC] parsed INFORMATIONAL_V1 request 3154582366 [ HASH N(INITIAL_CONTACT) ]<br>charon: 13[NET] received packet: from y.y.y.y[4500] to x.x.x.x[4500] (156 bytes)<br>charon: 13[ENC] parsed QUICK_MODE request 4000683564 [ HASH SA No ID ID ]<br>charon: 13[IKE] no matching CHILD_SA config found<br>charon: 13[ENC] generating INFORMATIONAL_V1 request 2885462951 [ HASH N(INVAL_ID) ]<br>charon: 13[NET] sending packet: from x.x.x.x[4500] to y.y.y.y[4500] (76 bytes)<br>charon: 10[NET] received packet: from y.y.y.y[4500] to x.x.x.x[4500] (156 bytes)<br>charon: 10[IKE] received retransmit of request with ID 4000683564, but no response to retransmit<br><br>On 20/9/2014 at 8:48 AM, cellkites@hushmail.com wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;"><span style="font-family:Arial;font-size:13px;">Apologies, cutting and pasting must have mangled the email, here's my ipsec.conf<br><br>conn test<br>        keyexchange=ikev1<br>        left=x.x.x.x<br>        leftsubnet=0.0.0.0/0<br>        leftfirewall=yes<br>        right=%any<br>        rightid=test@test.com<br>        rightsourceip=192.168.100.0/24<br>        auto=add<br>        compress=yes<br>        ike=aes128-sha1-modp1024!<br>        esp=aes128-sha1!<br>        authby=secret<br><br>and ipsec.secrets<br><br>x.x.x.x test@test.com : PSK "password"<br><br>and here's the log entries i get;<br><br>charon: 12[CFG] looking for pre-shared key peer configs matching x.x.x.x...y.y.y.y[z.z.z.z]<br>charon: 12[IKE] no peer config found<br>charon: 12[ENC] generating INFORMATIONAL_V1 request 3091113035 [ HASH N(AUTH_FAILED) ]<br>charon: 12[NET] sending packet: from x.x.x.x[4500] to y.y.y.y[4500] (92 bytes)<br><br><br>x.x.x.x - is my private internal ip<br>y.y.y.y - the initiators public ip<br>z.z.z.z - is the initiators internal private ip<br><br>On 19/9/2014 at 4:48 PM, "Martin Willi" <martin@strongswan.org> wrote:<blockquote style="border-left:solid 1px #ccc;margin-left:10px;padding-left:10px;">Hi,<br><br>> It's seems fairly straightforward however I am continually<br>> getting the error "no ike config found".<br><br>> conn test<br>>     keyexchange=ikev1<br>>     nat_traversal=yes<br><br>nat_traversal is not a conn specific option, and has been deprecated<br>with 5.x.<br><br>>    left=x.x.x.x <br><br>Usually you define the right side as remote, so set right to the peers<br>address. If you set left, set it to a local address to use.<br><br>Further, you may add something like:<br>  ike=aes128-sha1-modp1024!<br>  esp=aes-sha1!<br>  rightid=test@test.com<br><br>Also you probably need a leftid for your local peer, and put your<br>password in ipsec.secrets.<br><br>Please include a log excerpt of your connection attempt if it doesn't<br>work.<br><br>Regards<br>Martin</blockquote></span></blockquote></span></blockquote></span>