<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">HI,<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">I am using the strongswan 4.5.2. I have remote access vpn connection. From the windows connection is up and running. The problem starts when I restart/update ipsec on my ipsec linux device. Windows client is behind the nat.<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Can some one please help me on how to solve this issue. I am struggling with from past 2 weeks.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Related logs are at [1]<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">configuration[2]<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)"><br><br><br>[1]<br>Dec 15 10:34:26 r-47-QA pluto[2591]: interface ppp0 deactivated<br>Dec 15 10:34:26 r-47-QA pluto[2591]: 10.1.2.1 disappeared from ppp0<br>Dec 15 10:34:26 r-47-QA pluto[2591]: forgetting secrets<br>Dec 15 10:34:26 r-47-QA pluto[2591]: loading secrets from "/etc/ipsec.secrets"<br>Dec 15 10:34:26 r-47-QA pluto[2591]: loading secrets from "/var/lib/strongswan/ipsec.conf.inc"<br>Dec 15 10:34:26 r-47-QA pluto[2591]: loading secrets from "/etc/ipsec.d/ipsec.any.secrets"<br>Dec 15 10:34:26 r-47-QA pluto[2591]:   loaded PSK secret for %any<br>Dec 15 10:35:01 r-47-QA CRON[5134]: pam_unix(cron:session): session opened for user root by (uid=0)<br>Dec 15 10:35:01 r-47-QA CRON[5134]: pam_unix(cron:session): session closed for user root<br>Dec 15 10:36:01 r-47-QA CRON[5183]: pam_unix(cron:session): session opened for user root by (uid=0)<br>Dec 15 10:36:01 r-47-QA CRON[5183]: pam_unix(cron:session): session closed for user root<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: received Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000008]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: received Vendor ID payload [RFC 3947]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: ignoring Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: ignoring Vendor ID payload [FRAGMENTATION]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: ignoring Vendor ID payload [Vid-Initial-Contact]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: packet from <a href="http://10.147.52.172:500">10.147.52.172:500</a>: ignoring Vendor ID payload [IKE CGA version 1]<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[10] 10.147.52.172 #13: responding to Main Mode from unknown peer 10.147.52.172<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[10] 10.147.52.172 #13: NAT-Traversal: Result using RFC 3947: peer is NATed<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[10] 10.147.52.172 #13: Peer ID is ID_IPV4_ADDR: '10.1.1.189'<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[11] 10.147.52.172 #13: deleting connection "L2TP-PSK" instance with peer 10.147.52.172 {isakmp=#0/ipsec=#0}<br>Dec 15 10:36:11 r-47-QA pluto[2591]: | NAT-T: new mapping <a href="http://10.147.52.172:500/4500">10.147.52.172:500/4500</a>)<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: sent MR3, ISAKMP SA established<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #14: NAT-Traversal: received 2 NAT-OA. using first, ignoring others<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #14: responding to Quick Mode<br>Dec 15 10:36:11 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #14: cannot install eroute -- it is in use for "L2TP-PSK"[9] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #12<br>Dec 15 10:36:12 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)<br>Dec 15 10:36:12 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: sending encrypted notification INVALID_MESSAGE_ID to <a href="http://10.147.52.172:4500">10.147.52.172:4500</a><br>Dec 15 10:36:14 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)<br>Dec 15 10:36:14 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: sending encrypted notification INVALID_MESSAGE_ID to <a href="http://10.147.52.172:4500">10.147.52.172:4500</a><br>Dec 15 10:36:18 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x01000000 (perhaps this is a duplicated packet)<br>Dec 15 10:36:18 r-47-QA pluto[2591]: "L2TP-PSK"[11] <a href="http://10.147.52.172:4500">10.147.52.172:4500</a> #13: sending encrypted notification INVALID_MESSAGE_ID to <a href="http://10.147.52.172:4500">10.147.52.172:4500</a><br><br>[2]<br><br># ipsec --version<br>Linux strongSwan U4.5.2/K3.2.0-4-amd64<br><br><br>root@r-47-QA:~# cat /etc/ipsec.d/l2tp.conf<br>#ipsec remote access vpn configuration<br>conn L2TP-PSK<br>        authby=secret<br>        pfs=no<br>        rekey=yes<br>        keyingtries=3<br>        keyexchange=ikev1<br>        forceencaps=yes<br>        leftfirewall=yes<br>        leftnexthop=%defaultroute<br>        # ----------------------------------------------------------<br>        # The VPN server.<br>        #<br>        # Allow incoming connections on the external network interface.<br>        # If you want to use a different interface or if there is no<br>        # defaultroute, you can use:   left=10.147.52.174<br>        #<br>        left=10.147.52.174<br>        #<br>        leftprotoport=17/1701<br>        # If you insist on supporting non-updated Windows clients,<br>        # you can use:    leftprotoport=17/%any<br>        #<br>        # ----------------------------------------------------------<br>        # The remote user(s).<br>        #<br>        # Allow incoming connections only from this IP address.<br>        right=%any<br>        # If you want to allow multiple connections from any IP address,<br>        # you can use:    right=%any<br>        #<br>        rightprotoport=17/%any<br>        #<br>        # ----------------------------------------------------------<br>        # Change 'ignore' to 'add' to enable this configuration.<br>        #<br>        rightsubnetwithin=<a href="http://10.1.2.2/8">10.1.2.2/8</a><br>        auto=add<br><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Thanks,<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small;color:rgb(51,0,153)">Jayapal<br></div></div>