<div dir="ltr"><div><div><div>Hello all,<br><br></div>Getting repeatable failures on rekey using an Apple IOS8.3 device, even worse, charon dies too (that bit may not be repeatable, I haven't checked yet).<br><br></div><div>Can anyone suggest where I'm going wrong please?<br></div><div><br># ipsec version<br>Linux strongSwan U5.3.2/K4.1.2<br><br>### /etc/ipsec.conf ###<br>config setup<br>       uniqueids=never<br>       charondebug="cfg 2, dmn 2, ike 2, net 2"<br><br>conn %default<br>        dpdaction=clear<br>        leftsendcert=always<br>        ike=aes256gcm128-sha256-modp4096!<br>        esp=aes256gcm128-sha256-modp4096!<br>        tfc=%mtu<br>        dpddelay=300s<br><br>conn IOS8<br>        keyexchange=ikev2<br>        leftid=<a href="http://hq.axiom-partners.com">hq.axiom-partners.com</a><br>        leftcert=VPNServerCert.pem<br>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>        right=%any<br>        rightsourceip=<a href="http://192.168.1.128/7">192.168.1.128/7</a><br>        rightdns=8.26.56.26,8.20.247.20<br>        dpdaction=clear<br>        auto=add<br><br></div>### /var/log/syslog ### - During initial connection<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[IKE] 213.205.251.25 is initiating an IKE_SA<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[IKE] IKE_SA (unnamed)[1] state change: CREATED => CONNECTING<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[CFG] selecting proposal:<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[CFG]   proposal matches<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[CFG] received proposals: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_256/MODP_4096<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[CFG] configured proposals: IKE:AES_GCM_16_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_4096<br>Jul 23 13:57:57 nibbler ipsec[8214]: 06[CFG] selected proposal: IKE:AES_GCM_16_256/PRF_HMAC_SHA2_256/MODP_4096<br><br>### /var/log/syslog ### - During later rekey<div>Jul 23 14:40:16 nibbler charon: 07[KNL] creating rekey job for CHILD_SA ESP/0x06c656c0/<a href="http://213.205.251.25">213.205.251.25</a><br>Jul 23 14:40:16 nibbler charon: 07[IKE] queueing CHILD_REKEY task<br>Jul 23 14:40:16 nibbler charon: 07[IKE] activating new tasks<br>Jul 23 14:40:16 nibbler charon: 07[IKE]   activating CHILD_REKEY task<br>Jul 23 14:40:16 nibbler charon: 07[IKE] establishing CHILD_SA IOS8{1}<br>Jul 23 14:40:16 nibbler charon: 07[CFG] proposing traffic selectors for us:<br>Jul 23 14:40:16 nibbler charon: 07[CFG]  <a href="http://0.0.0.0/0">0.0.0.0/0</a><br>Jul 23 14:40:16 nibbler charon: 07[CFG] proposing traffic selectors for other:<br>Jul 23 14:40:16 nibbler charon: 07[CFG]  <a href="http://192.168.1.128/32">192.168.1.128/32</a><br>Jul 23 14:40:16 nibbler charon: 07[CFG] configured proposals: ESP:AES_GCM_16_256/MODP_4096/NO_EXT_SEQ<br>Jul 23 14:40:17 nibbler charon: 07[ENC] generating CREATE_CHILD_SA request 1 [ N(REKEY_SA) N(IPCOMP_SUP) SA No KE TSi TSr ]<br>Jul 23 14:40:17 nibbler charon: 07[NET] sending packet: from 192.168.1.10[4500] to 213.205.251.25[64916] (728 bytes)<br>Jul 23 14:40:17 nibbler charon: 10[NET] sending packet: from 192.168.1.10[4500] to 213.205.251.25[64916]<br>Jul 23 14:40:17 nibbler charon: 03[NET] received packet: from 213.205.251.25[64916] to 192.168.1.10[4500]<br>Jul 23 14:40:17 nibbler charon: 03[NET] waiting for data on sockets<br>Jul 23 14:40:17 nibbler charon: 16[NET] received packet: from 213.205.251.25[64916] to 192.168.1.10[4500] (168 bytes)<br>Jul 23 14:40:17 nibbler charon: 16[ENC] parsed CREATE_CHILD_SA response 1 [ SA No TSi TSr ]<br>Jul 23 14:40:17 nibbler charon: 16[IKE] peer didn't accept our proposed IPComp transforms, IPComp is disabled<br>Jul 23 14:40:17 nibbler charon: 16[CFG] selecting proposal:<br>Jul 23 14:40:17 nibbler charon: 16[CFG]   no acceptable DIFFIE_HELLMAN_GROUP found<br>Jul 23 14:40:17 nibbler charon: 16[CFG] received proposals: ESP:AES_GCM_16_256/NO_EXT_SEQ<br>Jul 23 14:40:17 nibbler charon: 16[CFG] configured proposals: ESP:AES_GCM_16_256/MODP_4096/NO_EXT_SEQ<br>Jul 23 14:40:17 nibbler charon: 16[IKE] no acceptable proposal found<br>Jul 23 14:40:17 nibbler charon: 16[IKE] failed to establish CHILD_SA, keeping IKE_SA<br>Jul 23 14:40:17 nibbler charon: 16[IKE] reinitiating already active tasks<br>Jul 23 14:40:17 nibbler charon: 16[IKE]   CHILD_REKEY task<br>Jul 23 14:40:17 nibbler charon: 16[ENC] generating INFORMATIONAL request 2 [ N(REKEY_SA) ]<br>Jul 23 14:40:17 nibbler charon: 16[NET] sending packet: from 192.168.1.10[4500] to 213.205.251.25[64916] (69 bytes)<br>Jul 23 14:40:17 nibbler charon: 10[NET] sending packet: from 192.168.1.10[4500] to 213.205.251.25[64916]<br>Jul 23 14:40:17 nibbler charon: 03[NET] received packet: from 213.205.251.25[64916] to 192.168.1.10[4500]<br>Jul 23 14:40:17 nibbler charon: 03[NET] waiting for data on sockets<br>Jul 23 14:40:17 nibbler charon: 14[NET] received packet: from 213.205.251.25[64916] to 192.168.1.10[4500] (72 bytes)<br>Jul 23 14:40:17 nibbler charon: 14[ENC] parsed INFORMATIONAL request 17 [ D ]<br>Jul 23 14:40:17 nibbler charon: 14[IKE] received DELETE for IKE_SA IOS8[1]<br>Jul 23 14:40:17 nibbler charon: 14[IKE] deleting IKE_SA IOS8[1] between 192.168.1.10[<a href="http://hq.axiom-partners.com">hq.axiom-partners.com</a>]...213.205.251.25[<a href="mailto:orangutan@axiom-partners.com">orangutan@axiom-partners.com</a>]<br>Jul 23 14:40:17 nibbler charon: 14[IKE] IKE_SA IOS8[1] state change: ESTABLISHED => DELETING<br>Jul 23 14:40:17 nibbler charon: 14[IKE] IKE_SA deleted<br>Jul 23 14:40:17 nibbler charon: 14[ENC] generating INFORMATIONAL response 17 [ ]<br>Jul 23 14:40:17 nibbler charon: 14[NET] sending packet: from 192.168.1.10[4500] to 213.205.251.25[64916] (57 bytes)<br>Jul 23 14:40:17 nibbler charon: 14[DMN] thread 14 received 11<br>Jul 23 14:40:17 nibbler charon: 10[NET] sending packet: from 192.168.1.10[4500] to 213.205.251.25[64916]<br>Jul 23 14:40:17 nibbler charon: 14[LIB]  dumping 2 stack frame addresses:<br>Jul 23 14:40:17 nibbler charon: 14[LIB]   linux-gate.so.1 @ 0xb7727000 (__kernel_sigreturn+0x0) [0xb7727b3c]<br>Jul 23 14:40:17 nibbler ipsec[8214]: 09[CFG]  192addr2line: 'linux-gate.so.1': No such file<br>Jul 23 14:40:17 nibbler charon: 14[LIB]     -><br>Jul 23 14:40:17 nibbler charon: 14[LIB]     [0xae800830]<br>Jul 23 14:40:17 nibbler ipsec[8214]: dumping 2 stack frame addresses:<br>Jul 23 14:40:17 nibbler ipsec[8214]: linux-gate.so.1 @ 0xb7727000 (__kernel_sigreturn+0x0) [0xb7727b3c]<br>Jul 23 14:40:17 nibbler ipsec[8214]: addr2line: 'linux-gate.so.1': No such file<br>Jul 23 14:40:17 nibbler ipsec[8214]: -><br>Jul 23 14:40:17 nibbler ipsec[8214]: [0xae800830]<br>Jul 23 14:40:17 nibbler charon: 14[DMN] killing ourself, received critical signal<br><br></div>Kind regards,<br></div>Tom<br></div>