<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Hi,<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">I have the site to site  vpn config where ike in the config has different values. The vpn tunnel is coming up with this config. Is it expected behavior or something wrong.<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)"><b>  ike=aes128-sha1                               </b><b> ike=3des-md5</b></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Router104 ---------------public--------------Router103<br><br>root@r-104-QA:~# cat /etc/ipsec.d/ipsec.vpn-10.147.52.103.conf<br>conn vpn-10.147.52.103<br>  left=10.147.52.106<br>  leftsubnet=<a href="http://10.10.0.0/16">10.10.0.0/16</a><br>  leftnexthop=10.147.52.1<br>  right=10.147.52.103<br>  rightsubnet=<a href="http://192.168.0.0/16">192.168.0.0/16</a><br>  type=tunnel<br>  authby=secret<br>  keyexchange=ikev1<br><b>  ike=aes128-sha1</b><br>  ikelifetime=86400s<br>  esp=aes128-sha1<br>  lifetime=3600s<br>  pfs=no<br>  keyingtries=2<br>  auto=start<br>root@r-104-QA:~#<br>root@r-104-QA:~# ipsec statusall<br>000 Status of IKEv1 pluto daemon (strongSwan 4.5.2):<br>000 interface lo/lo <a href="http://127.0.0.1:4500">127.0.0.1:4500</a><br>000 interface lo/lo <a href="http://127.0.0.1:500">127.0.0.1:500</a><br>000 interface eth0/eth0 <a href="http://169.254.2.237:4500">169.254.2.237:4500</a><br>000 interface eth0/eth0 <a href="http://169.254.2.237:500">169.254.2.237:500</a><br>000 interface eth1/eth1 <a href="http://10.147.52.106:4500">10.147.52.106:4500</a><br>000 interface eth1/eth1 <a href="http://10.147.52.106:500">10.147.52.106:500</a><br>000 %myid = '%any'<br>000 loaded plugins: test-vectors curl ldap aes des sha1 sha2 md5 random x509 pkcs1 pgp dnskey pem openssl gmp hmac xauth attr kernel-netlink resolve<br>000 debug options: none<br>000<br>000 "L2TP-PSK": 172.26.0.151[172.26.0.151]:17/1701---10.147.52.1...%any[%any]:17/%any==={<a href="http://10.0.0.0/8">10.0.0.0/8</a>}; unrouted; eroute owner: #0<br>000 "L2TP-PSK":   ike_life: 10800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3<br>000 "L2TP-PSK":   policy: PSK+ENCRYPT+TUNNEL+DONTREKEY; prio: 32,8; interface: ;<br>000 "L2TP-PSK":   newest ISAKMP SA: #0; newest IPsec SA: #0;<br>000 "vpn-10.147.52.103": <a href="http://10.10.0.0/16===10.147.52.106[10.147.52.106]---10.147.52.1...10.147.52.103[10.147.52.103]===192.168.0.0/16">10.10.0.0/16===10.147.52.106[10.147.52.106]---10.147.52.1...10.147.52.103[10.147.52.103]===192.168.0.0/16</a>; erouted; eroute owner: #11<br>000 "vpn-10.147.52.103":   ike_life: 86400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 2<br>000 "vpn-10.147.52.103":   policy: PSK+ENCRYPT+TUNNEL+UP; prio: 16,16; interface: eth1;<br>000 "vpn-10.147.52.103":   newest ISAKMP SA: #8; newest IPsec SA: #11;<br><b>000 "vpn-10.147.52.103":   IKE proposal: AES_CBC_128/HMAC_SHA1/MODP_1536</b><br>000 "vpn-10.147.52.103":   ESP proposal: AES_CBC_128/HMAC_SHA1/<N/A><br>000<br>000 #11: "vpn-10.147.52.103" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2366s; newest IPSEC; eroute owner<br>000 #11: "vpn-10.147.52.103" <a href="mailto:esp.ccd56ea8@10.147.52.103">esp.ccd56ea8@10.147.52.103</a> (0 bytes) <a href="mailto:esp.cd9efa23@10.147.52.106">esp.cd9efa23@10.147.52.106</a> (0 bytes); tunnel<br>000 #10: "vpn-10.147.52.103" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2599s<br>000 #10: "vpn-10.147.52.103" <a href="mailto:esp.c96e6831@10.147.52.103">esp.c96e6831@10.147.52.103</a> (0 bytes) <a href="mailto:esp.c59d350e@10.147.52.106">esp.c59d350e@10.147.52.106</a> (0 bytes); tunnel<br>000 #9: "vpn-10.147.52.103" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2674s<br>000 #9: "vpn-10.147.52.103" <a href="mailto:esp.c422c096@10.147.52.103">esp.c422c096@10.147.52.103</a> (0 bytes) <a href="mailto:esp.c1444f5f@10.147.52.106">esp.c1444f5f@10.147.52.106</a> (0 bytes); tunnel<br>000 #8: "vpn-10.147.52.103" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 85088s; newest ISAKMP<br>000<br>Status of IKEv2 charon daemon (strongSwan 4.5.2):<br>  uptime: 13 minutes, since Nov 18 09:00:50 2015<br>  malloc: sbrk 380928, mmap 0, used 245664, free 135264<br>  worker threads: 7 idle of 16, job queue load: 0, scheduled events: 0<br>  loaded plugins: test-vectors curl ldap aes des sha1 sha2 md5 random x509 revocation constraints pubkey pkcs1 pgp pem openssl fips-prf gmp agent pkcs11 xcbc hmac ctr ccm gcm attr kernel-netlink resolve socket-raw farp stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc dhcp led addrblock<br>Listening IP addresses:<br>  169.254.2.237<br>  10.147.52.106<br>Connections:<br>Security Associations:<br>  none<br>root@r-104-QA:~#<br><br><br><br>root@r-103-QA:~# cat /etc/ipsec.d/ipsec.vpn-10.147.52.106.conf<br>conn vpn-10.147.52.106<br>  left=10.147.52.103<br>  leftsubnet=<a href="http://192.168.0.0/16">192.168.0.0/16</a><br>  leftnexthop=10.147.52.1<br>  right=10.147.52.106<br>  rightsubnet=<a href="http://10.10.0.0/16">10.10.0.0/16</a><br>  type=tunnel<br>  authby=secret<br>  keyexchange=ikev1<br><b>  ike=3des-md5</b><br>  ikelifetime=86400s<br>  esp=3des-md5<br>  lifetime=3600s<br>  pfs=no<br>  keyingtries=2<br>  auto=start<br>root@r-103-QA:~#<br>root@r-103-QA:~#<br>root@r-103-QA:~# ipsec statusall<br>000 Status of IKEv1 pluto daemon (strongSwan 4.5.2):<br>000 interface lo/lo <a href="http://127.0.0.1:4500">127.0.0.1:4500</a><br>000 interface lo/lo <a href="http://127.0.0.1:500">127.0.0.1:500</a><br>000 interface eth0/eth0 <a href="http://169.254.1.56:4500">169.254.1.56:4500</a><br>000 interface eth0/eth0 <a href="http://169.254.1.56:500">169.254.1.56:500</a><br>000 interface eth1/eth1 <a href="http://10.147.52.103:4500">10.147.52.103:4500</a><br>000 interface eth1/eth1 <a href="http://10.147.52.103:500">10.147.52.103:500</a><br>000 %myid = '%any'<br>000 loaded plugins: test-vectors curl ldap aes des sha1 sha2 md5 random x509 pkcs1 pgp dnskey pem openssl gmp hmac xauth attr kernel-netlink resolve<br>000 debug options: none<br>000<br>000 "L2TP-PSK": 172.26.0.151[172.26.0.151]:17/1701---10.147.52.1...%any[%any]:17/%any==={<a href="http://10.0.0.0/8">10.0.0.0/8</a>}; unrouted; eroute owner: #0<br>000 "L2TP-PSK":   ike_life: 10800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3<br>000 "L2TP-PSK":   policy: PSK+ENCRYPT+TUNNEL+DONTREKEY; prio: 32,8; interface: ;<br>000 "L2TP-PSK":   newest ISAKMP SA: #0; newest IPsec SA: #0;<br>000 "vpn-10.147.52.106": <a href="http://192.168.0.0/16===10.147.52.103[10.147.52.103]---10.147.52.1...10.147.52.106[10.147.52.106]===10.10.0.0/16">192.168.0.0/16===10.147.52.103[10.147.52.103]---10.147.52.1...10.147.52.106[10.147.52.106]===10.10.0.0/16</a>; erouted; eroute owner: #15<br>000 "vpn-10.147.52.106":   ike_life: 86400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 2<br>000 "vpn-10.147.52.106":   policy: PSK+ENCRYPT+TUNNEL+UP; prio: 16,16; interface: eth1;<br>000 "vpn-10.147.52.106":   newest ISAKMP SA: #12; newest IPsec SA: #15;<br><b>000 "vpn-10.147.52.106":   IKE proposal: AES_CBC_128/HMAC_SHA1/MODP_1536</b><br>000 "vpn-10.147.52.106":   ESP proposal: AES_CBC_128/HMAC_SHA1/<N/A><br>000<br>000 #15: "vpn-10.147.52.106" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 2974s; newest IPSEC; eroute owner<br>000 #15: "vpn-10.147.52.106" <a href="mailto:esp.cd9efa23@10.147.52.106">esp.cd9efa23@10.147.52.106</a> (0 bytes) <a href="mailto:esp.ccd56ea8@10.147.52.103">esp.ccd56ea8@10.147.52.103</a> (0 bytes); tunnel<br>000 #14: "vpn-10.147.52.106" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 2974s<br>000 #14: "vpn-10.147.52.106" <a href="mailto:esp.c59d350e@10.147.52.106">esp.c59d350e@10.147.52.106</a> (0 bytes) <a href="mailto:esp.c96e6831@10.147.52.103">esp.c96e6831@10.147.52.103</a> (0 bytes); tunnel<br>000 #13: "vpn-10.147.52.106" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 2974s<br>000 #13: "vpn-10.147.52.106" <a href="mailto:esp.c1444f5f@10.147.52.106">esp.c1444f5f@10.147.52.106</a> (0 bytes) <a href="mailto:esp.c422c096@10.147.52.103">esp.c422c096@10.147.52.103</a> (0 bytes); tunnel<br>000 #12: "vpn-10.147.52.106" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 85774s; newest ISAKMP<br>000<br>Status of IKEv2 charon daemon (strongSwan 4.5.2):<br>  uptime: 16 minutes, since Nov 18 08:59:07 2015<br>  malloc: sbrk 380928, mmap 0, used 245648, free 135280<br>  worker threads: 7 idle of 16, job queue load: 0, scheduled events: 0<br>  loaded plugins: test-vectors curl ldap aes des sha1 sha2 md5 random x509 revocation constraints pubkey pkcs1 pgp pem openssl fips-prf gmp agent pkcs11 xcbc hmac ctr ccm gcm attr kernel-netlink resolve socket-raw farp stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc dhcp led addrblock<br>Listening IP addresses:<br>  169.254.1.56<br>  10.147.52.103<br>Connections:<br>Security Associations:<br>  none<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Thanks,<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Jayapal<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)"><br></div></div>