<div dir="ltr">Hi Tobias,<div><br></div><div><br></div><div>Thank you very much for helping, let me further clarify a bit. </div><div><br></div><div>Strongswan version is 5.5.0.</div><div><br></div><div><br></div><div>About Q1, for example, remote peer only accept <b>3des-sha1-modp1024</b>, and local Strongswan using the following "ike" config.</div><div><br></div><div><div>a) ike=aes256-sha1-modp1024,<b>3des-sha1-modp1024</b>,aes128-sha2_256-modp1024</div></div><div>b) ike=aes256-sha1-modp1024,<b>3des-sha1-modp1024</b>,aes128-sha2_256-modp1024!<br></div><div><br></div><div>Config (a) works well and phase 1 passed using 3des-sha1-modp1024 without problem.<br></div><div><br></div><div>Config (b) failed and Strongswan only propose aes256-sha1-modp1024 to remote peer, and the 3des proposal is not sent at all. The only difference compared to (a) is I have added "!" to restrict Strongswan to accept the defined proposal.</div><div><br></div><div>So question 1 is, why config (b) fail? </div><div><br></div><div><br></div><div>For Q2, using the same example, remote peer only accept <b>3des-sha1-modp1024</b> for phase 2, and local Strongswan using:</div><div><br></div><div>a) esp=aes256-sha1-modp1024,<b>3des-sha1-modp1024</b><br></div><div>b) esp=aes256-sha1-modp1024,<b>3des-sha1-modp1024</b>!</div><div><br></div><div>No matter (a) or (b), with or without "!", Strongswan never propose the second 3des proposal to remote peer, the behavior is different compared to "ike". Is this a bug? </div><div><br></div><div>Thanks again, I'm still trying different options and trying to read the source code, hopefully will have some breakthrough.</div><div><br></div><div><div class="gmail_extra"><div><div><div dir="ltr"><div><br>Best regards,<br>Steve<br><div>
<p><br></p><p><br></p></div></div></div></div></div><div class="gmail_quote">2016-08-29 23:57 GMT+08:00 Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Steve,<br>
<span><br>
> Question 1) Can I define multiple proposals for 'ike' and adding '!' to<br>
> restrict Strongswan to accept the defined proposals only? Since the<br>
> initiator is not fixed, local Strongswan can be the responder or<br>
> initiator depends on different scenario.<br>
<br>
</span>Yes, adding ! in ipsec.conf will restrict the proposals to the ones<br>
configured.  That is, the default proposal, which basically includes all<br>
available algorithms, will _not_ be added.  For swanctl.conf the default<br>
proposal is not added automatically (unless `ike` or `esp` is not set at<br>
all), that is, unless the keyword `default` is included explicitly in<br>
the proposal list setting any proposals is like adding a ! in ipsec.conf.<br>
<br>
For IKEv1 initiators the default proposal is very limited, though,<br>
because only the first algorithm of each type is sent in the SA payload.<br>
 Which means that in the current release `aes128-sha256-modp3072` is<br>
added, which is already the default if nothing is configured in `ike` in<br>
ipsec.conf so in that case this proposal is apparently sent twice (since<br>
swanctl.conf defaults to `default` it will only be sent once there).<br>
However, as responder the default proposal is considered in its entirety<br>
if ! is not added (or `default` is specified in swanctl.conf), so as<br>
IKEv1 responder strongSwan might accept more algorithms than it proposes<br>
as initiator.<br>
<span><br>
> Question 2) Is it possible to define multiple proposals for 'esp', as<br>
> well as if I add the '!' flag?<br>
<br>
</span>Should work exactly the same as with `ike`.  If ! is not added (or<br>
`default` is contained in swanctl.conf) a default proposal will be added<br>
(out of which IKEv1 initiators will propose `aes128-sha256` in the<br>
current release and contains a few more algorithms as responder).<br>
Otherwise, the proposals are restricted to whatever is configured.<br>
<span><br>
> Thank you very much for your time, hope someone can give me direction on<br>
> how to solve this problem. 😀<br>
<br>
</span>What problem is that exactly?<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br></div></div></div>