<div dir="ltr"><div><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px">Hello everyone,</span></div><div><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px"><br></span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px"><br></span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px">I'm currently switching from Openswan to Strongswan, and one thing I'm having problem is defining multiple proposals in IKEv1 Main Mode.</span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px"><br></span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px">According to <a href="http://wiki.strongswan.org">wiki.strongswan.org</a>, both ipsec.conf and swanctl.conf is able to define multiple proposals, by using comma as the separator:</span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px"><br></span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px">For ipsec.conf :-</span></div><div><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px">e.g. </span><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:12px;line-height:18px"><i>ike=aes256-sha1-modp1024,3des-sha1-modp1024,aes128-sha2_256-modp1024</i></span></font></div><div><em style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px">e.g. esp</em><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:12px;line-height:18px"><i>=aes256-sha1-modp1024,aes128-sha2_256-modp1024</i></span></font></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><br></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)">Phase 1 (ike) does work as expected, it will try all the defined proposals as long as I don't set the '!' exclamation mark at the end. </div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><br></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)">Question 1) Can I define multiple proposals for 'ike' and adding '!' to restrict Strongswan to accept the defined proposals only? Since the initiator is not fixed, local Strongswan can be the responder or initiator depends on different scenario.</div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><br></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><br></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)">Unfortunately for Phase 2 (esp), it only choose the first proposal (aes256-sha1-modp1024 in this case), and after receiving the <font color="#36000c" face="Verdana, sans-serif" style="font-size:small;line-height:normal"><span style="font-size:12px;line-height:18px">NO_PROPOSAL_CHOSEN error, it simply stop and do nothing.</span></font><br></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><font color="#36000c" face="Verdana, sans-serif" style="font-size:small;line-height:normal"><span style="font-size:12px;line-height:18px"><br></span></font></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><font color="#36000c" face="Verdana, sans-serif" style="font-size:small;line-height:normal"><span style="font-size:12px;line-height:18px">Question 2) Is it possible to define multiple proposals for 'esp', as well as if I add the '!' flag?</span></font></div><div><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:12px;line-height:18px"><br></span></font></div><div><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:12px;line-height:18px"><br></span></font></div><div><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:12px;line-height:18px">I have tried both ipsec.conf and swanctl.conf as the configuration method but all failed. I hope I'm not misunderstanding the document, but swanctl.conf wiki has a statement <i>"</i></span></font><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:12px;line-height:18px"><i>Use multiple proposals to offer different algorithms combinations in IKEv1."</i> so I think this is quite clear multiple proposals should be supported for IKEv1 in both phase 1 and 2.</span></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)"><br></div><div style="font-family:Verdana,sans-serif;line-height:18px;font-size:12px;color:rgb(54,0,12)">Thank you very much for your time, hope someone can give me direction on how to solve this problem. 😀</div><div><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><br></div><div><br>Best regards,<br>Steve<br><div>
<p><br></p>

</div></div></div></div></div>
</div>