<div dir="ltr"><div><div>Hi, </div><div><br></div><div>I'm trying to setup strongswan 5.2 but am experiencing problems where the leftside can't seem to connect to the right side and keeps retransmitting the request till it times out.</div><div><br></div><div>Both VPN's are within a VPC 10.100.0.0 in Amazon web services.  The leftside is in subnet 10.100.200.0 and the right side is in 10.100.201.0   I have the AWS security set so I can ping both servers even without a tunnel established.</div><div><br></div><div>I do notice in the log file that this error occurs "unable to load 3 plugin features (3 due to unmet dependencies)" but do not know if it is related to the problem?</div><div><br></div><div>Thanks for all help.<br></div><div><br></div><div>#leftside ipsec.conf</div><div><div>conn vpn</div><div>      type=tunnel</div><div>      keyexchange=ikev2</div><div>      left=10.100.200.52</div><div>      leftcert=strongswanleftCert2.der</div><div>      leftsubnet=<a href="http://10.100.200.0/24">10.100.200.0/24</a></div><div>      leftid=@ip-10-100-200-52</div><div>      leftfirewall=yes</div><div>      right=10.100.201.54</div><div>      rightid=@ip-10-100-201-54</div><div>      rightcert=strongswanrightCert2.der</div><div>      rightsubnet=<a href="http://10.100.201.0/24">10.100.201.0/24</a></div><div>      rightsendcert=never</div><div>      lefthostaccess=yes</div><div>      auto=start</div></div><div><br></div><div>#rightside ipsec.conf</div><div><div>      type=tunnel</div><div>      keyexchange=ikev2</div><div>      left=10.100.200.52</div><div>      leftcert=strongswanleftCert2.der</div><div>      leftsubnet=<a href="http://10.100.200.0/24">10.100.200.0/24</a></div><div>      leftid=@ip-10-100-200-52</div><div>      leftfirewall=yes</div><div>      right=10.100.201.54</div><div>      rightid=@ip-10-100-201-54</div><div>      rightcert=strongswanrightCert2.der</div><div>      rightsubnet=<a href="http://10.100.201.0/24">10.100.201.0/24</a></div><div>      rightsendcert=never</div><div>      lefthostaccess=yes</div><div>      auto=start</div></div><div><br></div><div><br></div></div><div>#statusall from left side</div><div><div>[root@ip-10-100-200-52 strongswan]# strongswan statusall</div><div>Status of IKE charon daemon (strongSwan 5.2.0, Linux 2.6.32-431.29.2.el6.x86_64, x86_64):</div><div>  uptime: 2 hours, since Feb 26 13:05:37 2015</div><div>  malloc: sbrk 405504, mmap 0, used 373504, free 32000</div><div>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0</div><div>  loaded plugins: charon curl aes des rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp</div><div>Listening IP addresses:</div><div>  10.100.200.52</div><div>Connections:</div><div>         vpn:  10.100.200.52...10.100.201.54  IKEv2</div><div>         vpn:   local:  [ip-10-100-200-52] uses public key authentication</div><div>         vpn:    cert:  "C=US, O=Example, CN=strongswanleft2"</div><div>         vpn:   remote: [ip-10-100-201-54] uses public key authentication</div><div>         vpn:    cert:  "C=US, O=Example, CN=strongswanright2"</div><div>         vpn:   child:  <a href="http://10.100.200.0/24">10.100.200.0/24</a> === <a href="http://10.100.201.0/24">10.100.201.0/24</a> TUNNEL</div><div>Security Associations (0 up, 0 connecting):</div><div>  none</div></div><div><br></div><div># statusall from right side</div><div><div>[root@ip-10-100-201-54 strongswan]# strongswan statusall</div><div>Status of IKE charon daemon (strongSwan 5.2.0, Linux 2.6.32-431.29.2.el6.x86_64, x86_64):</div><div>  uptime: 2 hours, since Feb 26 13:05:42 2015</div><div>  malloc: sbrk 540672, mmap 0, used 373552, free 167120</div><div>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0</div><div>  loaded plugins: charon curl aes des rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp</div><div>Listening IP addresses:</div><div>  10.100.201.54</div><div>Connections:</div><div>         vpn:  10.100.201.54...10.100.200.52  IKEv2</div><div>         vpn:   local:  [ip-10-100-201-54] uses public key authentication</div><div>         vpn:    cert:  "C=US, O=Example, CN=strongswanright2"</div><div>         vpn:   remote: [ip-10-100-200-52] uses public key authentication</div><div>         vpn:    cert:  "C=US, O=Example, CN=strongswanleft2"</div><div>         vpn:   child:  <a href="http://10.100.201.0/24">10.100.201.0/24</a> === <a href="http://10.100.200.0/24">10.100.200.0/24</a> TUNNEL</div><div>Security Associations (0 up, 0 connecting):</div><div>  none</div></div><div><br></div><div><br></div><div><div><div>#/var/log/messsages from right side 10.100.201.54</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[CFG] loading attribute certificates from '/etc/strongswan/ipsec.d/acerts'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[CFG] loading crls from '/etc/strongswan/ipsec.d/crls'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[CFG]   loaded RSA private key from '/etc/strongswan/ipsec.d/private/strongswanrightKey2.der'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[LIB] loaded plugins: charon curl aes des rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[LIB] unable to load 3 plugin features (3 due to unmet dependencies)</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 00[JOB] spawning 16 worker threads</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 08[CFG] received stroke: add connection 'vpn'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 08[CFG]   loaded certificate "C=US, O=Example, CN=strongswanright2" from 'strongswanrightCert2.der'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 08[CFG]   loaded certificate "C=US, O=Example, CN=strongswanleft2" from 'strongswanleftCert2.der'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 08[CFG] added configuration 'vpn'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 10[CFG] received stroke: initiate 'vpn'</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 10[IKE] initiating IKE_SA vpn[1] to 10.100.200.52</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 10[NET] sending packet: from 10.100.201.54[500] to 10.100.200.52[500] (1132 bytes)</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 12[NET] received packet: from 10.100.200.52[500] to 10.100.201.54[500] (36 bytes)</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 12[ENC] parsed IKE_SA_INIT response 0 [ N(NO_PROP) ]</div><div>Feb 26 13:05:42 ip-10-100-201-54 charon: 12[IKE] received NO_PROPOSAL_CHOSEN notify error</div><div>Feb 26 13:05:48 ip-10-100-201-54 charon: 14[NET] received packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:05:48 ip-10-100-201-54 charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Feb 26 13:05:48 ip-10-100-201-54 charon: 14[IKE] 10.100.200.52 is initiating an IKE_SA</div><div>Feb 26 13:05:48 ip-10-100-201-54 charon: 14[IKE] sending cert request for "C=US, O=Example, CN=strongSwan CA"</div><div>Feb 26 13:05:48 ip-10-100-201-54 charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]</div><div>Feb 26 13:05:48 ip-10-100-201-54 charon: 14[NET] sending packet: from 10.100.201.54[500] to 10.100.200.52[500] (465 bytes)</div><div>Feb 26 13:05:52 ip-10-100-201-54 charon: 15[NET] received packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:05:52 ip-10-100-201-54 charon: 15[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Feb 26 13:05:52 ip-10-100-201-54 charon: 15[IKE] received retransmit of request with ID 0, retransmitting response</div><div>Feb 26 13:05:52 ip-10-100-201-54 charon: 15[NET] sending packet: from 10.100.201.54[500] to 10.100.200.52[500] (465 bytes)</div><div>Feb 26 13:05:59 ip-10-100-201-54 charon: 16[NET] received packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:05:59 ip-10-100-201-54 charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Feb 26 13:05:59 ip-10-100-201-54 charon: 16[IKE] received retransmit of request with ID 0, retransmitting response</div><div>Feb 26 13:05:59 ip-10-100-201-54 charon: 16[NET] sending packet: from 10.100.201.54[500] to 10.100.200.52[500] (465 bytes)</div><div>Feb 26 13:06:12 ip-10-100-201-54 charon: 09[NET] received packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:06:12 ip-10-100-201-54 charon: 09[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Feb 26 13:06:12 ip-10-100-201-54 charon: 09[IKE] received retransmit of request with ID 0, retransmitting response</div><div>Feb 26 13:06:12 ip-10-100-201-54 charon: 09[NET] sending packet: from 10.100.201.54[500] to 10.100.200.52[500] (465 bytes)</div><div>Feb 26 13:06:18 ip-10-100-201-54 charon: 11[JOB] deleting half open IKE_SA after timeout</div><div>Feb 26 13:06:36 ip-10-100-201-54 charon: 08[NET] received packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div></div><div><br></div><div><br></div><div>#var log messages from left side 10.100.200.52</div><div>Feb 26 13:11:07 ip-10-100-200-52 charon: 11[IKE] peer not responding, trying again (3/3)</div><div>Feb 26 13:11:07 ip-10-100-200-52 charon: 11[IKE] initiating IKE_SA vpn[1] to 10.100.201.54</div><div>Feb 26 13:11:07 ip-10-100-200-52 charon: 11[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Feb 26 13:11:07 ip-10-100-200-52 charon: 11[NET] sending packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:11:11 ip-10-100-200-52 charon: 08[IKE] retransmit 1 of request with message ID 0</div><div>Feb 26 13:11:11 ip-10-100-200-52 charon: 08[NET] sending packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:11:18 ip-10-100-200-52 charon: 10[IKE] retransmit 2 of request with message ID 0</div><div>Feb 26 13:11:18 ip-10-100-200-52 charon: 10[NET] sending packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:11:31 ip-10-100-200-52 charon: 12[IKE] retransmit 3 of request with message ID 0</div><div>Feb 26 13:11:31 ip-10-100-200-52 charon: 12[NET] sending packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:11:55 ip-10-100-200-52 charon: 14[IKE] retransmit 4 of request with message ID 0</div><div>Feb 26 13:11:55 ip-10-100-200-52 charon: 14[NET] sending packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div><div>Feb 26 13:12:37 ip-10-100-200-52 charon: 16[IKE] retransmit 5 of request with message ID 0</div><div>Feb 26 13:12:37 ip-10-100-200-52 charon: 16[NET] sending packet: from 10.100.200.52[500] to 10.100.201.54[500] (1132 bytes)</div></div><div><br></div></div>