<div dir="ltr"><div>I'm trying to build a gre tunnel / transport based IPSec VPN between a Cisco IOS router and a device running strongswan on openwrt. I successfully negotiate phase 1 but then fail to negotiate phase 2.<br><br>The Cisco device indicates proxy identities are not supported, which would suggest that the IPSec session is being negotiated with the wrong IP addresses. Here are the log messages from the Cisco device:<br><br>.Apr 18 08:26:03.870: ISAKMP:(13414):Checking IPSec proposal 0<br>.Apr 18 08:26:03.870: ISAKMP: transform 1, ESP_AES <br>.Apr 18 08:26:03.870: ISAKMP:   attributes in transform:<br>.Apr 18 08:26:03.870: ISAKMP:      key length is 128<br>.Apr 18 08:26:03.870: ISAKMP:      authenticator is HMAC-SHA512<br>.Apr 18 08:26:03.870: ISAKMP:      encaps is 2 (Transport)<br>.Apr 18 08:26:03.870: ISAKMP:      SA life type in seconds<br>.Apr 18 08:26:03.870: ISAKMP:      SA life duration (basic) of 3600<br>.Apr 18 08:26:03.870: ISAKMP:(13414):atts are acceptable.<br>.Apr 18 08:26:03.870: IPSEC(ipsec_process_proposal): proxy identities not supported<br>.Apr 18 08:26:03.870: ISAKMP:(13414): IPSec policy invalidated proposal with error 32<br>.Apr 18 08:26:03.870: ISAKMP:(13414): phase 2 SA policy not acceptable! (local x.x.x.x remote 10.2.0.29)<br><br></div>And here is the configuration for strongswan. I had originally omitted the subnet definitions but I added them to ensure that the correct subnets were specified.<br><br>conn host-host<br>    left=10.2.0.29<br>    leftid=10.2.0.29<br>    leftsubnet=<a href="http://10.2.0.29/32">10.2.0.29/32</a><br>    right=x.x.x.x<br>    rightid=x.x.x.x<br>    rightsubnet=x.x.x.x/32<br>    type=transport<br>    auto=start<br>    keyexchange=ikev1<br>    ike=aes128-sha256-modp4096!<br>    esp=aes128-sha512!<br>    authby=secret<br><div><br></div><div>I am running strongswan 5.2.2 on Openwrt. The Cisco router is running a dev special release of 15.3(3)M3.2.<br><br></div><div>Thank you in advance for your help,<br><br></div><div>-JohnF<br></div></div>