<div dir="ltr"><div><div><div><div><div><div>Hi,<br><br></div>I would like to ask your help regarding my issue with strongswan. I am planning to setup site-to-site vpn between 2 Amazon VPCs using strongswan-5.3.0 on CentOS 7.0. I can ping end-to-end IP addresses and I didn't enable firewall between two servers. Both has the same ipsec.secrets file.<br><br></div>=== My ipsec.conf file =====<br><br></div>config setup<br>        # strictcrlpolicy=yes<br>        # uniqueids = no<br><br>conn %default<br>        ikelifetime=60m<br>        keylife=20m<br>        rekeymargin=3m<br>        keyingtries=1<br>        authby=secret<br>        ike=3des,sha1,modp1024<br>        keyexchange=ikev2<br>        mobike=no<br><br>conn vpc1tovpc2<br>        left=xx.xx.xxx.xx<br>        leftsubnet=<a href="http://170.44.98.128/27">170.44.98.128/27</a><br>        leftid=@vpc1<br>        leftfirewall=yes<br>        right=xx.xx.xx.xxx<br>        rightsubnet=<a href="http://172.16.0.0/24">172.16.0.0/24</a><br>        rightid=@vpc2<br>        auto=start<br><br></div><div>My statusall results:<br>Status of IKE charon daemon (strongSwan 5.3.0, Linux 3.10.0-229.1.2.el7.x86_64, x86_64):<br>  uptime: 71 minutes, since Apr 29 08:38:53 2015<br>  malloc: sbrk 2568192, mmap 0, used 484832, free 2083360<br>  worker threads: 7 of 16 idle, 5/0/4/0 working, job queue: 0/0/0/0, scheduled: 0<br>  loaded plugins: charon aes des rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc cmac hmac curl sqlite attr kernel-libipsec kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-imc tnc-imv tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp<br>Listening IP addresses:<br>  172.16.0.101<br>Connections:<br>    vpc1tovpc2:  xx.xx.xx.xxx...xx.xx.xx.xxx  IKEv2<br>    vpc1tovpc2:   local:  [qa] uses pre-shared key authentication<br>    vpc1tovpc2:   remote: [wellsfargo] uses pre-shared key authentication<br>    vpc1tovpc2:   child:  <a href="http://172.16.0.0/24">172.16.0.0/24</a> === <a href="http://170.44.98.128/27">170.44.98.128/27</a> TUNNEL<br>Security Associations (0 up, 0 connecting):<br>  none<br><br></div><div><br></div>When starting connection between strongswan servers (strongswan up vpc1tovpc2) , I'm getting below errors:<br><br>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]<br>sending packet: from xxx.xx.xx.xx[500] to xxx.xx.xx.xx[500] (992 bytes)<br>retransmit 1 of request with message ID 0<br>sending packet: from xxx.xx.xx.xx[500] to xxx.xx.xx.xx[500] (992 bytes)<br>retransmit 2 of request with message ID 0<br>sending packet: from xxx.xx.xx.xx[500] to xxx.xx.xx.xx[500] (992 bytes)<br>retransmit 3 of request with message ID 0<br>sending packet: from xxx.xx.xx.xx[500] to xxx.xx.xx.xx[500] (992 bytes)<br>retransmit 4 of request with message ID 0<br>sending packet: from xxx.xx.xx.xx[500] to xxx.xx.xx.xx[500] (992 bytes)<br>retransmit 5 of request with message ID 0<br>sending packet: from xxx.xx.xx.xx[500] to xxx.xx.xx.xx[500] (992 bytes)<br>giving up after 5 retransmits<br>establishing IKE_SA failed, peer not responding<br>establishing connection 'vpc1tovpc2' failed<br><br></div>I appreciate your response. Thanks!<br><br></div>Oliver<br></div>