<div dir="ltr">Hi,<div><br></div><div><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">We are working to setup an IPSec PSK VPN between the 4G router and StrongSwan which resides on a public server in road warrior configuration, with the 4G router being the road warrior clients.</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">Cisco 819 4G router ( Road warrior client) ---------------CGNAT -------------------------- StrongSwan server</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">We are able to establish an IPSec VPN between the Cisco 819 4G router and Strongswan, with a direct connection, wherein there is no CGNAT, this is over the gigabit interface and strongswan local server. The moment we introduce CGNAT with strongswan in the cloud, we are unable to get the IPSec VPN working.</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">We are getting an error, please help/guide us here:</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">*Apr 5 14:39:38.822: IPSEC(sa_request): ,<br style="outline:none">(key eng. msg.) OUTBOUND local= <a href="http://100.76.145.121:500">100.76.145.121:500</a>, remote= <a href="http://125.16.240.98:500">125.16.240.98:500</a>,<br style="outline:none">local_proxy= <a href="http://192.168.1.0/255.255.255.0/256/0">192.168.1.0/255.255.255.0/256/0</a>,<br style="outline:none">remote_proxy= <a href="http://10.56.138.86/255.255.255.255/256/0">10.56.138.86/255.255.255.255/256/0</a>,<br style="outline:none">protocol= ESP, transform= esp-aes esp-sha-hmac (Tunnel),<br style="outline:none">lifedur= 3600s and 4608000kb,<br style="outline:none">spi= 0x0(0), conn_id= 0, keysize= 128, flags= 0x0<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):SA request profile is (NULL)<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):Created a peer struct for 125.16.240.98, peer port 500<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):New peer created peer = 0x1E10DE4 peer_handle = 0x80000012<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):Locking peer struct 0x1E10DE4, refcount 1 for isakmp_initiator<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):local port 500, remote port 500<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):set new node 0 to QM_IDLE<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):insert sa successfully sa = 10937C0<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):Can not start Aggressive mode, trying Main mode.<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):found peer pre-shared key matching 125.16.240.98<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):constructed NAT-T vendor-rfc3947 ID<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):constructed NAT-T vendor-07 ID<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):constructed NAT-T vendor-03 ID<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):constructed NAT-T vendor-02 ID<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):Old State = IKE_READY New State = IKE_I_MM1</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">*Apr 5 14:39:38.822: ISAKMP: (0):beginning Main Mode exchange<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP-PAK: (0):sending packet to 125.16.240.98 my_port 500 peer_port 500 (I) MM_NO_STATE<br style="outline:none">*Apr 5 14:39:38.822: ISAKMP: (0):Sending an IKE IPv4 Packet..<br style="outline:none">Success rate is 0 percent (0/1)<br style="outline:none">Router#<br style="outline:none">*Apr 5 14:39:42.626: ISAKMP-PAK: (0):received packet from 125.16.240.98 dport 500 sport 500 Global (I) MM_NO_STATE<br style="outline:none"><strong style="outline:none">*Apr 5 14:39:42.626: ISAKMP-ERROR: (0):Couldn't find node: message_id 2939252457</strong><br style="outline:none"><strong style="outline:none">*Apr 5 14:39:42.626: ISAKMP-ERROR: (0):(0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY: state = IKE_I_MM1</strong><br style="outline:none">*Apr 5 14:39:42.626: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY<br style="outline:none">*Apr 5 14:39:42.626: ISAKMP: (0):Old State = IKE_I_MM1 New State = IKE_I_MM1</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">*Apr 5 14:39:42.626: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at 125.16.240.98<br style="outline:none">*Apr 5 14:39:48.826: ISAKMP: (0):retransmitting phase 1 MM_NO_STATE...<br style="outline:none">*Apr 5 14:39:48.826: ISAKMP: (0):: incrementing error counter on sa, attempt 1 of 5: retransmit phase 1<br style="outline:none">*Apr 5 14:39:48.826: ISAKMP: (0):retransmitting phase 1 MM_NO_STATE<br style="outline:none">*Apr 5 14:39:48.826: ISAKMP-PAK: (0):sending packet to 125.16.240.98 my_port 500 peer_port 500 (I) MM_NO_STATE<br style="outline:none">*Apr 5 14:39:48.826: ISAKMP: (0):Sending an IKE IPv4 Packet.<br style="outline:none">*Apr 5 14:39:50.286: ISAKMP-PAK: (0):received packet from 125.16.240.98 dport 500 sport 500 Global (I) MM_NO_STATE<br style="outline:none"><strong style="outline:none">*Apr 5 14:39:50.286: ISAKMP-ERROR: (0):Couldn't find node: message_id 702674192</strong><br style="outline:none"><strong style="outline:none">*Apr 5 14:39:50.286: ISAKMP-ERROR: (0):(0): Unknown Input IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY: state = IKE_I_MM1</strong><br style="outline:none"><strong style="outline:none">*Apr 5 14:39:50.286: ISAKMP: (0):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY</strong><br style="outline:none"><strong style="outline:none">*Apr 5 14:39:50.286: ISAKMP: (0):Old State = IKE_I_MM1 New State = IKE_I_MM1</strong></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"><strong style="outline:none">StrongSwan output:</strong></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">06[CFG] received stroke: add connection 'ciscoios'<br style="outline:none">06[CFG] left nor right host is our side, assuming left=local<br style="outline:none">06[CFG] added configuration 'ciscoios'<br style="outline:none">11[NET] received packet: from 106.206.153.204[13418] to 10.56.138.86[500] (168 bytes)<br style="outline:none">11[ENC] parsed ID_PROT request 0 [ SA V V V V ]<br style="outline:none">11[IKE] no IKE config found for 10.56.138.86...106.206.153.204, sending NO_PROPOSAL_CHOSEN<br style="outline:none">11[ENC] generating INFORMATIONAL_V1 request 2939252457 [ N(NO_PROP) ]<br style="outline:none">11[NET] sending packet: from 10.56.138.86[500] to 106.206.153.204[13418] (40 bytes)<br style="outline:none">04[NET] received packet: from 106.206.153.204[13418] to 10.56.138.86[500] (168 bytes)<br style="outline:none">04[ENC] parsed ID_PROT request 0 [ SA V V V V ]<br style="outline:none">04[IKE] no IKE config found for 10.56.138.86...106.206.153.204, sending NO_PROPOSAL_CHOSEN<br style="outline:none">04[ENC] generating INFORMATIONAL_V1 request 702674192 [ N(NO_PROP) ]<br style="outline:none">04[NET] sending packet: from 10.56.138.86[500] to 106.206.153.204[13418] (40 byt</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px"><br></p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">Regards,</p><p style="outline:none;margin:0px 0px 10px;color:rgb(51,51,51);font-family:Arial,sans-serif;font-size:14.4px">Chandu</p></div></div>