<div dir="ltr"><div>Please ignore this. The client had configured PFS despite telling me they had not.<br><br></div>Sorry for wasting your time<br><div><div><div class="gmail_extra"><br><div class="gmail_quote">On 6 April 2016 at 14:37, Tormod Macleod <span dir="ltr"><<a href="mailto:tormod.macleod@gmail.com" target="_blank">tormod.macleod@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div><div><div>Hello,<br><br></div>I've created a connection to with a client who is using a fortigate firewall. The connection comes up and is usable. However, when the phase two tunnel is due to rekey it fails as per the logs. The phase one tunnel remains in place and continues to function.<br><br>Unfortunately I do not have the clients config. I have pasted the config from my side below along with the logs.<br><br></div>Any help or advice would be much appreciated. I have  created several connections between strongswan and cisco devices in the past but never using fortigate. Not sure if there are any quirky things you have to do when doing so.<br><br>conn %default<br>        ikelifetime=1440m<br>        margintime=3m<br>        keyingtries=0<br>        authby=secret<br>        left=<a href="http://10.129.1.0/24" target="_blank">10.129.1.0/24</a><br>        leftid=1.2.3.4<br>        auto=start<br>        reauth=no<br>        rekey=no<br>        dpdaction=hold<br>        dpddelay=40<br>        closeaction=hold<br><br>conn Client1<br>        keylife=60m<br>        keyexchange=ikev2<br>        ike=aes256-sha1-modp1024<br>        esp=aes128-md5<br>        leftsubnet=<a href="http://10.129.11.0/29" target="_blank">10.129.11.0/29</a><br>        right=5.6.7.8<br>        rightsubnet=<a href="http://10.90.1.0/24" target="_blank">10.90.1.0/24</a><br>        rightid=10.0.3.239<br>        dpdtimeout=60s<br>        dpddelay=5s<br><br>Apr  6 13:02:49 localhost charon: 05[KNL] creating rekey job for CHILD_SA ESP/0xc66a8fb2/<a href="http://10.129.1.131" target="_blank">10.129.1.131</a><br>Apr  6 13:02:49 localhost charon: 05[IKE] establishing CHILD_SA Client1{1}<br>Apr  6 13:02:49 localhost charon: 05[IKE] establishing CHILD_SA Client1{1}<br>Apr  6 13:02:49 localhost charon: 05[ENC] generating CREATE_CHILD_SA request 200 [ N(REKEY_SA) SA No TSi TSr ]<br>Apr  6 13:02:49 localhost charon: 05[NET] sending packet: from 10.129.1.131[4500] to 5.6.7.8[4500] (332 bytes)<br>Apr  6 13:02:49 localhost charon: 07[NET] received packet: from 5.6.7.8[4500] to 10.129.1.131[4500] (76 bytes)<br>Apr  6 13:02:49 localhost charon: 07[ENC] parsed CREATE_CHILD_SA response 200 [ N(INVAL_SYN) ]<br>Apr  6 13:02:49 localhost charon: 07[IKE] received INVALID_SYNTAX notify error<br>Apr  6 13:02:49 localhost charon: 07[IKE] CHILD_SA rekeying failed, trying again in 18 seconds<br><br></div>Many thanks,<br><br><br></div>Tormod<br></div>
</blockquote></div><br></div></div></div></div>