<div dir="ltr">Closing the loop on this thread. Had the remote end switch to a Cisco ASA (with no changes on our strongswan end) and the connection came up. <div><br></div><div>Here is the relevant log entry from the Cisco 3000 series end. I am guessing we could have tried "nat_traversal = no" ?</div><div><br></div><div><div>56415 09/20/2016 08:56:57.190 SEV=3 IKE/134 RPT=48544 50.15.201.20</div><div>Group [50.15.201.20]</div><div>Mismatch: Configured LAN-to-LAN proposal differs from negotiated proposal.</div><div>Verify local and remote LAN-to-LAN connection lists.</div><div><br></div><div>56418 09/20/2016 08:56:57.590 SEV=5 IKE/172 RPT=2762 50.15.201.20</div><div>Group [50.15.201.20]</div><div>Automatic NAT Detection Status:</div><div>   Remote end   IS   behind a NAT device</div><div>   This   end is NOT behind a NAT device</div></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Sep 19, 2016 at 4:06 AM, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Mahesh,<br>
<span class=""><br>
> It seems that phase 1 IKE is working but not phase 2 ESP. I've tried<br>
> different settings for ike= to no avail. Config and brief log below and<br>
> extended log attached.<br>
<br>
</span>You should check the responder's log.  It seems to immediately delete<br>
the IKE_SA after receiving the Quick Mode request, perhaps it also logs<br>
the reason why it did so.<br>
<br>
Regards,<br>
Tobias<br>
<br>
</blockquote></div><br></div>