<div dir="ltr"><div>Hello,</div><div><br></div><div>Problem with Strongswan 5.2.0 on RHEL6.5.<br></div><div>Remote host (Win7) connects with certificate authentication to Linux </div><div><div><br></div><div>[Win 10.163.0.120] - [ right <a href="http://192.163.102.0/24">192.163.102.0/24</a> ] <---> (router) <---> RH  [ left 192.163.3.0 / 24 ]</div><div><br></div></div><div>If only kernel-netlink plugin present, SA is created with no issues.With kernel-ipsec there is problem with adding routing.<br></div><div><br></div><div>Same configuration and environment works with 5.3.1 where also only kernel-netlink present.</div><div><br></div><div><div>9: ipsec0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400 qdisc pfifo_fast state UNKNOWN qlen 500</div><div>    link/[65534]</div></div><div><br></div><div><br></div><div>07:37:50 12[KNL] no local address found in traffic selector <a href="http://192.163.3.0/24">192.163.3.0/24</a></div><div>07:37:50 12[KNL] error installing route with policy <a href="http://192.163.3.0/24">192.163.3.0/24</a> === <a href="http://192.163.102.1/32">192.163.102.1/32</a> out</div><div>07:37:50 12[ESP] adding policy <a href="http://192.163.3.0/24">192.163.3.0/24</a> === <a href="http://192.163.102.1/32">192.163.102.1/32</a> out</div><div>07:37:50 12[KNL] getting a local address in traffic selector <a href="http://192.163.3.0/24">192.163.3.0/24</a></div><div>07:37:50 12[KNL] no local address found in traffic selector <a href="http://192.163.3.0/24">192.163.3.0/24</a></div><div>07:37:50 12[KNL] error installing route with policy <a href="http://192.163.3.0/24">192.163.3.0/24</a> === <a href="http://192.163.102.1/32">192.163.102.1/32</a> out</div><div>07:37:50 12[ESP] adding policy <a href="http://192.163.102.1/32">192.163.102.1/32</a> === <a href="http://192.163.3.0/24">192.163.3.0/24</a> in</div><div>07:37:50 12[IKE] unable to install IPsec policies (SPD) in kernel</div><div>07:37:50 12[IKE] closing IKE_SA due CHILD_SA setup failure</div><div>07:37:50 12[ESP] deleted inbound SAD entry with SPI 25e34941</div><div>07:37:50 12[ESP] deleted outbound SAD entry with SPI c8806041</div><div>07:37:50 12[ESP] deleting policy <a href="http://192.163.3.0/24">192.163.3.0/24</a> === <a href="http://192.163.102.1/32">192.163.102.1/32</a> out</div><div>07:37:50 12[ESP] deleting policy <a href="http://192.163.102.1/32">192.163.102.1/32</a> === <a href="http://192.163.3.0/24">192.163.3.0/24</a> in</div><div>07:37:50 12[ESP] deleting policy <a href="http://192.163.3.0/24">192.163.3.0/24</a> === <a href="http://192.163.102.1/32">192.163.102.1/32</a> out</div><div>07:37:50 12[ESP] deleting policy <a href="http://192.163.102.1/32">192.163.102.1/32</a> === <a href="http://192.163.3.0/24">192.163.3.0/24</a> in</div><div>07:37:50 12[NET] sending packet: from 192.163.2.141[4500] to 10.163.0.120[4500] (1704 bytes)</div><div><br></div><div>ipsec.conf<br></div><div><br></div><div><div>config setup</div><div>        cachecrls=yes</div><div>        strictcrlpolicy=no</div><div>        uniqueids=replace</div><div><br></div><div>conn %default</div><div>        auto=ignore</div><div>        esp=aes256gcm16-ecp384,aes256gcm16,aes256-sha1-modp1024,aes256-sha1!</div><div>        ike=aes256-sha384-prfsha384-ecp384,aes256-sha384-prfsha384-modp1024!</div><div>        mobike=yes</div><div><br></div><div>conn Remote_Access-1-Auth-chain1-CERT0.crt</div><div>        also=Remote_Access-1</div><div>        auto=add</div><div>        leftauth=pubkey</div><div>        leftca="<removed>"</div><div>        leftcert=chain1-CERT0.crt</div><div>        leftsendcert=always</div><div>        rightauth=pubkey</div><div>        rightca=%same</div><div>        rightid="<removed>"</div><div>        rightsendcert=always</div><div><br></div><div>conn Remote_Access-1</div><div>        dpdaction=clear</div><div>        dpddelay=5m</div><div>        ikedscp=101000</div><div>        ikelifetime=24h</div><div>        keyexchange=ikev2</div><div>        keyingtries=3</div><div>        keylife=8h</div><div>        left=192.163.2.141</div><div>        leftdns=</div><div>        leftfirewall=no</div><div>        leftsubnet=<a href="http://192.163.3.0/24">192.163.3.0/24</a></div><div>        reauth=no</div><div>        rekey=yes</div><div>        rekeyfuzz=0%</div><div>        rekeymargin=3m</div><div>        right=%any</div><div>        rightsourceip=<a href="http://192.163.102.0/24">192.163.102.0/24</a></div></div><div><br></div><div><br></div><div>strongswan.conf</div><div><br></div><div><div>charon {</div><div>    block_threshold = 1</div><div>    close_ike_on_child_failure = yes</div><div>    cookie_threshold = 512</div><div>    dos_protection = no</div><div>    ikesa_limit = 5</div><div>    ikesa_table_segments = 128</div><div>    ikesa_table_size = 512</div><div>    init_limit_half_open = 2625</div><div>    interfaces_use = eth2</div><div>    keep_alive = 300s</div><div>    port = 500</div><div>    port_nat_t = 4500</div><div>    retransmit_base = 1.0</div><div>    retransmit_timeout = 15</div><div>    retransmit_tries = 4</div><div>    reuse_ikesa = yes</div><div>    threads = 96</div><div><br></div><div>    libstrongswan {</div><div>        load = openssl</div><div>    }</div><div>}</div></div><div><br></div><div><br></div><div>Kernel: RedHat 2.6.32-431.20.3.el6.x86_64</div><div>Strongswan: U5.2.0/K2.6.32-431.20.3.el6.x86_64</div><div><br></div><div>Best Regards,</div><div>Sneaky</div></div>