<div dir="ltr"><div>Hello</div><div><br></div><div>I have tried to make this to work for some days without success. I have read documentation, forums... </div><div>I just need to enable a Cisco VPN client roadwarrior to access  <a href="http://10.10.10.0/24">10.10.10.0/24</a> subnet in x.y.z.d Strongswan server ; with Split tunneling.</div><div><br></div><div>I will appreciate any clue to achieve the connection! I am pretty sure the issue is very simple ...but I´m not able to see it.</div><div><br></div><div>I am using CentOS Linux release 7.1.1503  with latest strongswan version:</div><div><div>[root@Strongswan ~]#  strongswan --version</div><div>Linux strongSwan U5.3.2/K3.10.0-123.4.4.el7.x86_64</div></div><div><br></div><div><br></div><div>Here you have the server configuration:</div><div><br></div><div><br></div><div># ipsec.conf - strongSwan IPsec configuration file</div><div><br></div><div># basic configuration</div><div><br></div><div>config setup</div><div>        # strictcrlpolicy=yes</div><div>        # uniqueids = no</div><div>        charondebug="ike 2, knl 2, cfg 2, net 2, esp 2, dmn 2,  mgr 2"</div><div><br></div><div><br></div><div>conn %default</div><div>        ikelifetime=28800</div><div>        keylife=60m</div><div>        rekeymargin=3m</div><div>        keyingtries=1</div><div><br></div><div>conn roadwarrior</div><div>        keyexchange=ikev1</div><div>        esp=aes128-sha1!</div><div>        ike=aes128-sha1-modp1024!</div><div>        aggressive = yes</div><div>        left=x.y.z.d        <<server´s public IP address</div><div>        leftid=@group    << I use group authentication in Cisco´s VPN client</div><div>        leftauth=psk</div><div>        leftsubnet=<a href="http://10.10.10.0/24">10.10.10.0/24</a>        <<<server´s private LAN </div><div>        right=%any</div><div>        rightsourceip=<a href="http://10.10.20.0/24">10.10.20.0/24</a>  <<IP range to be assigned to roadwarriors</div><div>        rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a>            << to accept leftsubnet network</div><div>        rightauth=psk</div><div>        rightauth2=xauth</div><div>        xauth=server</div><div>        auto=add</div><div><br></div><div><br></div><div>The ipsec.secrets file:</div><div>x.y.z.d %any : PSK "pskpassword"</div><div>x.y.z.d @group : PSK "pskpassword"</div><div><br></div><div>#users</div><div>john.doe : XAUTH "password"</div><div><br></div><div>##############</div><div><br></div><div><br></div><div>and here´s what I added to strongswan.conf:</div><div><br></div><div>        cisco_unity = yes</div><div>        split-include=<a href="http://10.10.10.0/24">10.10.10.0/24</a></div><div>        split-exclude=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>        i_dont_care_about_security_and_use_aggressive_mode_psk = yes</div><div><br></div><div>Please, just take a look to the log after a try:</div><div>Oct 23 13:04:00 Strongswan charon: 10[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:00 Strongswan charon: 04[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:00 Strongswan charon: 04[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:00 Strongswan charon: 04[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:00 Strongswan charon: 02[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500]</div><div>Oct 23 13:04:00 Strongswan charon: 02[NET] waiting for data on sockets</div><div>Oct 23 13:04:00 Strongswan charon: 11[MGR] checkout IKE_SA by message</div><div>Oct 23 13:04:00 Strongswan charon: 11[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:00 Strongswan charon: 11[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500] (188 bytes)</div><div>Oct 23 13:04:00 Strongswan charon: 11[ENC] unknown attribute type (28683)</div><div>Oct 23 13:04:00 Strongswan charon: 11[ENC] unknown attribute type (28684)</div><div>Oct 23 13:04:00 Strongswan charon: 11[ENC] parsed TRANSACTION request 1315079114 [ HASH CPRQ(ADDR MASK DNS NBNS EXP U_BANNER U_SAVEPWD U_DEFDOM U_SPLITINC U_SPLITDNS U_PFS (28683) U_BKPSRV (28684) VER U_FWTYPE U_DDNSHOST) ]</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing INTERNAL_IP4_ADDRESS attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing INTERNAL_IP4_NETMASK attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing INTERNAL_IP4_DNS attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing INTERNAL_IP4_NBNS attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing INTERNAL_ADDRESS_EXPIRY attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_BANNER attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_SAVE_PASSWD attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_DEF_DOMAIN attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_SPLIT_INCLUDE attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_SPLITDNS_NAME attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_PFS attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing (28683) attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_BACKUP_SERVERS attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing (28684) attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing APPLICATION_VERSION attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_FW_TYPE attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] processing UNITY_DDNS_HOSTNAME attribute</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] peer requested virtual IP %any</div><div>Oct 23 13:04:00 Strongswan charon: 11[CFG] reassigning offline lease to 'john.doe'</div><div>Oct 23 13:04:00 Strongswan charon: 11[IKE] assigning virtual IP 10.10.20.1 to peer 'john.doe'</div><div>Oct 23 13:04:00 Strongswan charon: 11[ENC] generating TRANSACTION response 1315079114 [ HASH CPRP(ADDR U_LOCALLAN) ]</div><div>Oct 23 13:04:00 Strongswan charon: 11[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145] (92 bytes)</div><div>Oct 23 13:04:00 Strongswan charon: 11[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:00 Strongswan charon: 11[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:00 Strongswan charon: 03[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145]</div><div>Oct 23 13:04:00 Strongswan charon: 02[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500]</div><div>Oct 23 13:04:00 Strongswan charon: 02[NET] waiting for data on sockets</div><div>Oct 23 13:04:00 Strongswan charon: 12[MGR] checkout IKE_SA by message</div><div>Oct 23 13:04:00 Strongswan charon: 12[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:00 Strongswan charon: 12[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500] (1036 bytes)</div><div>Oct 23 13:04:00 Strongswan charon: 12[ENC] parsed QUICK_MODE request 1844352540 [ HASH SA No ID ID ]</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] looking for a child config for <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://10.10.20.1/32">10.10.20.1/32</a></div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] proposing traffic selectors for us:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]  <a href="http://10.10.10.0/24">10.10.10.0/24</a></div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] proposing traffic selectors for other:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]  <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]   candidate "roadwarrior" with prio 1+1</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] found matching child config "roadwarrior" with prio 2</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selecting traffic selectors for other:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]  config: <a href="http://0.0.0.0/0">0.0.0.0/0</a>, received: <a href="http://10.10.20.1/32">10.10.20.1/32</a> => match: <a href="http://10.10.20.1/32">10.10.20.1/32</a></div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selecting traffic selectors for us:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]  config: <a href="http://10.10.10.0/24">10.10.10.0/24</a>, received: <a href="http://0.0.0.0/0">0.0.0.0/0</a> => match: <a href="http://10.10.10.0/24">10.10.10.0/24</a></div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selecting proposal:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selecting proposal:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selecting proposal:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]   no acceptable INTEGRITY_ALGORITHM found</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selecting proposal:</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG]   proposal matches</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] received proposals: ESP:AES_CBC_256/HMAC_MD5_96/NO_EXT_SEQ, ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_MD5_96/NO_EXT_SEQ, ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:3DES_CBC/HMAC_SHA1_96/NO_EXT_SEQ, ESP:DES_CBC/HMAC_MD5_96/NO_EXT_SEQ, ESP:NULL/HMAC_MD5_96/NO_EXT_SEQ, ESP:NULL/HMAC_SHA1_96/NO_EXT_SEQ</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ</div><div>Oct 23 13:04:00 Strongswan charon: 12[CFG] selected proposal: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ</div><div>Oct 23 13:04:00 Strongswan charon: 12[IKE] received 2147483s lifetime, configured 3600s</div><div>Oct 23 13:04:00 Strongswan charon: 12[KNL] got SPI ccd606c3</div><div>Oct 23 13:04:00 Strongswan charon: 12[ENC] generating QUICK_MODE response 1844352540 [ HASH SA No ID ID ]</div><div>Oct 23 13:04:00 Strongswan charon: 12[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145] (188 bytes)</div><div>Oct 23 13:04:00 Strongswan charon: 12[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:00 Strongswan charon: 12[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:00 Strongswan charon: 03[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145]</div><div>Oct 23 13:04:01 Strongswan charon: 02[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500]</div><div>Oct 23 13:04:01 Strongswan charon: 02[NET] waiting for data on sockets</div><div>Oct 23 13:04:01 Strongswan charon: 06[MGR] checkout IKE_SA by message</div><div>Oct 23 13:04:01 Strongswan charon: 06[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:01 Strongswan charon: 06[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500] (76 bytes)</div><div>Oct 23 13:04:01 Strongswan charon: 06[ENC] parsed INFORMATIONAL_V1 request 1529379188 [ HASH D ]</div><div>Oct 23 13:04:01 Strongswan charon: 06[IKE] received DELETE for ESP CHILD_SA with SPI a6a084da</div><div>Oct 23 13:04:01 Strongswan charon: 06[IKE] CHILD_SA not found, ignored</div><div>Oct 23 13:04:01 Strongswan charon: 06[IKE] activating new tasks</div><div>Oct 23 13:04:01 Strongswan charon: 06[IKE] nothing to initiate</div><div>Oct 23 13:04:01 Strongswan charon: 06[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:01 Strongswan charon: 06[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:01 Strongswan charon: 14[MGR] checkout IKE_SA</div><div>Oct 23 13:04:01 Strongswan charon: 14[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:01 Strongswan charon: 14[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:01 Strongswan charon: 14[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:01 Strongswan charon: 13[MGR] checkout IKE_SA</div><div>Oct 23 13:04:01 Strongswan charon: 13[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:01 Strongswan charon: 13[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:01 Strongswan charon: 13[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:04 Strongswan charon: 04[MGR] checkout IKE_SA</div><div>Oct 23 13:04:04 Strongswan charon: 04[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:04 Strongswan charon: 04[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:04 Strongswan charon: 04[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:04 Strongswan charon: 11[MGR] checkout IKE_SA</div><div>Oct 23 13:04:04 Strongswan charon: 11[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:04 Strongswan charon: 11[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:04 Strongswan charon: 11[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:11 Strongswan charon: 02[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500]</div><div>Oct 23 13:04:11 Strongswan charon: 02[NET] waiting for data on sockets</div><div>Oct 23 13:04:11 Strongswan charon: 13[MGR] checkout IKE_SA by message</div><div>Oct 23 13:04:11 Strongswan charon: 13[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:11 Strongswan charon: 13[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500] (92 bytes)</div><div>Oct 23 13:04:11 Strongswan charon: 13[ENC] parsed INFORMATIONAL_V1 request 963975998 [ HASH N(DPD) ]</div><div>Oct 23 13:04:11 Strongswan charon: 13[IKE] queueing ISAKMP_DPD task</div><div>Oct 23 13:04:11 Strongswan charon: 13[IKE] activating new tasks</div><div>Oct 23 13:04:11 Strongswan charon: 13[IKE]   activating ISAKMP_DPD task</div><div>Oct 23 13:04:11 Strongswan charon: 13[ENC] generating INFORMATIONAL_V1 request 2712358554 [ HASH N(DPD_ACK) ]</div><div>Oct 23 13:04:11 Strongswan charon: 13[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145] (92 bytes)</div><div>Oct 23 13:04:11 Strongswan charon: 13[IKE] activating new tasks</div><div>Oct 23 13:04:11 Strongswan charon: 13[IKE] nothing to initiate</div><div>Oct 23 13:04:11 Strongswan charon: 13[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:11 Strongswan charon: 13[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:11 Strongswan charon: 03[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145]</div><div>Oct 23 13:04:17 Strongswan charon: 14[MGR] checkout IKE_SA</div><div>Oct 23 13:04:17 Strongswan charon: 14[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:17 Strongswan charon: 14[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:17 Strongswan charon: 14[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:21 Strongswan charon: 02[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500]</div><div>Oct 23 13:04:21 Strongswan charon: 02[NET] waiting for data on sockets</div><div>Oct 23 13:04:21 Strongswan charon: 07[MGR] checkout IKE_SA by message</div><div>Oct 23 13:04:21 Strongswan charon: 07[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:21 Strongswan charon: 07[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500] (92 bytes)</div><div>Oct 23 13:04:21 Strongswan charon: 07[ENC] parsed INFORMATIONAL_V1 request 3171125211 [ HASH N(DPD) ]</div><div>Oct 23 13:04:21 Strongswan charon: 07[IKE] queueing ISAKMP_DPD task</div><div>Oct 23 13:04:21 Strongswan charon: 07[IKE] activating new tasks</div><div>Oct 23 13:04:21 Strongswan charon: 07[IKE]   activating ISAKMP_DPD task</div><div>Oct 23 13:04:21 Strongswan charon: 07[ENC] generating INFORMATIONAL_V1 request 2784795614 [ HASH N(DPD_ACK) ]</div><div>Oct 23 13:04:21 Strongswan charon: 07[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145] (92 bytes)</div><div>Oct 23 13:04:21 Strongswan charon: 07[IKE] activating new tasks</div><div>Oct 23 13:04:21 Strongswan charon: 07[IKE] nothing to initiate</div><div>Oct 23 13:04:21 Strongswan charon: 07[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:21 Strongswan charon: 07[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:21 Strongswan charon: 03[NET] sending packet: from x.y.z.d[4500] to 212.1.13.1[53145]</div><div>Oct 23 13:04:27 Strongswan charon: 07[MGR] checkout IKE_SA</div><div>Oct 23 13:04:27 Strongswan charon: 07[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:27 Strongswan charon: 07[MGR] checkin IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:27 Strongswan charon: 07[MGR] check-in of IKE_SA successful.</div><div>Oct 23 13:04:31 Strongswan charon: 02[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500]</div><div>Oct 23 13:04:31 Strongswan charon: 02[NET] waiting for data on sockets</div><div>Oct 23 13:04:31 Strongswan charon: 11[MGR] checkout IKE_SA by message</div><div>Oct 23 13:04:31 Strongswan charon: 11[MGR] IKE_SA roadwarrior[3] successfully checked out</div><div>Oct 23 13:04:31 Strongswan charon: 11[NET] received packet: from 212.1.13.1[53145] to x.y.z.d[4500] (92 bytes)</div><div>Oct 23 13:04:31 Strongswan charon: 11[ENC] parsed INFORMATIONAL_V1 request 702680579 [ HASH D ]</div><div>Oct 23 13:04:31 Strongswan charon: 11[IKE] received DELETE for IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:31 Strongswan charon: 11[IKE] deleting IKE_SA roadwarrior[3] between x.y.z.d[gigas]...212.1.13.1[gigas]</div><div>Oct 23 13:04:31 Strongswan charon: 11[IKE] IKE_SA roadwarrior[3] state change: ESTABLISHED => DELETING</div><div>Oct 23 13:04:31 Strongswan charon: 11[IKE] IKE_SA roadwarrior[3] state change: DELETING => DELETING</div><div>Oct 23 13:04:31 Strongswan charon: 11[KNL] deleting SAD entry with SPI ccd606c3  (mark 0/0x00000000)</div><div>Oct 23 13:04:31 Strongswan charon: 11[KNL] deleted SAD entry with SPI ccd606c3 (mark 0/0x00000000)</div><div>Oct 23 13:04:31 Strongswan charon: 11[MGR] checkin and destroy IKE_SA roadwarrior[3]</div><div>Oct 23 13:04:31 Strongswan charon: 11[IKE] IKE_SA roadwarrior[3] state change: DELETING => DESTROYING</div><div>Oct 23 13:04:31 Strongswan charon: 11[CFG] lease 10.10.20.1 by 'john.doe' went offline</div><div>Oct 23 13:04:31 Strongswan charon: 11[MGR] check-in and destroy of IKE_SA successful</div><div>Oct 23 13:04:31 Strongswan charon: 12[MGR] checkout IKE_SA</div><div><br></div><div>thanks!!!!</div><div><br></div><div><br></div><div><br></div></div>