<div dir="ltr"><div><div><div>Hi<br><br></div>Is this supported in Strongswan? <br><br>Iam using on some peers strongswan 5.0.4 and on some peers strongswan-v5.2.1 and some strongswan 5.3.0...<br><br>Iam trying to establish site-to-site tunnels (using ikev2) to Cisco-IOS-router<br><br></div>On the strongswan side iam configuring as below:<br>=======================================<br># /etc/ipsec.conf - strongSwan IPsec configuration file<br><br>config setup<br>        strictcrlpolicy=no<br>        charondebug="ike 1, dmn 1, chd 1, knl 1, cfg 1, net 1, esp 1, enc 1, lib 1, mgr 1"<br><br>conn %default<br>        ikelifetime=3h<br>        keylife=1h<br>        mobike=no<br><br>conn tociscortr1<br>        left=10.232.90.65<br>        leftsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>        right=2.2.2.123<br>        rightsubnet=<a href="http://192.168.22.0/24">192.168.22.0/24</a><br>        leftid=10.232.90.65<br>        rightid=2.2.2.123<br>        leftauth=psk<br>        rightauth=psk<br>        keyexchange=ikev2<br>        type=tunnel<br>        ike=aes128-sha-modp1024<br>        esp=aes128-sha<br>        auto=route<br><br># /etc/ipsec.secrets - strongSwan IPsec secrets file<br>10.232.90.65 : PSK "test1234xyz"<br>2.2.2.123 : PSK "cisco123abc"<br></div># i tried it with below config too...did not work<br><div>#2.2.2.123 10.232.90.65 : PSK "test1234xyz"<br>#10.232.90.65 2.2.2.123 : PSK "cisco123abc"<br></div><div>================================================<br><br></div><div>and on the Cisco-IOS-router, iam using the below config:<br><br>=====================<br>...<br>crypto ikev2 proposal IKEv2_PROPOSAL<br> encryption aes-cbc-128<br> integrity sha1<br> group 2<br>!<br>crypto ikev2 policy IKEv2_POLICY<br> proposal IKEv2_PROPOSAL<br>!<br>crypto ikev2 keyring IKEv2_KEYRING<br> peer lsrdbgw1<br>  address 10.232.90.65<br>  identity address 10.232.90.65<br>  pre-shared-key local cisco123abc<br>  pre-shared-key remote test1234xyz<br> !<br>!<br>!<br>crypto ikev2 profile IKEv2_PROFILE<br> match identity remote address 10.232.90.65 255.255.255.255<br> identity local address 2.2.2.123<br> authentication remote pre-share<br> authentication local pre-share<br> keyring local IKEv2_KEYRING<br>!<br>crypto ikev2 nat keepalive 10<br>crypto ikev2 dpd 30 5 periodic<br>!<br>!<br>!<br>crypto isakmp keepalive 30<br>crypto isakmp nat keepalive 10<br>!<br>!<br>crypto ipsec transform-set TS1 esp-aes esp-sha-hmac<br> mode tunnel<br>!<br>!<br>!<br>crypto map IKEv2_MAP 1000 ipsec-isakmp<br> set peer 10.232.90.65<br> set transform-set TS1<br> set ikev2-profile IKEv2_PROFILE<br> match address s2stun1<br>...<br>...<br>=====================================<br><br></div><div>The authentication is failing <br><br></div><div>BUT, if i use the similar configs (with asymmetric PSKs) between 2 strongswan-peers, it works and the tunnel is UP and traffic is flowing thru the tunnel<br><br></div><div>With Cisco-IOS, i have the below issues:<br><br></div><div>1. When Strongswan is the initiator:<br><br>=================================<br></div><div>on strongswan: we observe the following<br>Starting strongSwan 5.2.1 IPsec [starter]...<br>00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.13.0-24-generic, x86_64)<br>00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'<br>00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'<br>00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'<br>00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'<br>00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'<br>00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'<br>00[CFG]   loaded IKE secret for 10.232.90.65<br>00[CFG]   loaded IKE secret for 2.2.2.123<br>00[CFG] opening triplet file /usr/local/etc/ipsec.d/triplets.dat failed: No such file or directory<br>00[CFG] loaded 0 RADIUS server configurations<br>00[LIB] loaded plugins: charon aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-sim eap-aka eap-simaka-pseudonym eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-noauth tnc-tnccs dhcp lookip error-notify unity<br>00[LIB] unable to load 11 plugin features (10 due to unmet dependencies)<br>00[JOB] spawning 16 worker threads<br>charon (23723) started after 40 ms<br>11[CFG] received stroke: add connection 'tociscortr1'<br>11[CFG] added configuration 'tociscortr1'<br>12[CFG] received stroke: route 'tociscortr1'<br>'tociscortr1' routed<br><br>13[KNL] creating acquire job for policy <a href="http://192.168.1.101/32[icmp/8]">192.168.1.101/32[icmp/8]</a> === <a href="http://192.168.22.2/32[icmp/8]">192.168.22.2/32[icmp/8]</a> with reqid {1}<br>13[IKE] initiating IKE_SA tociscortr1[1] to 2.2.2.123<br>13[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br>13[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (1252 bytes)<br>11[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (336 bytes)<br>11[ENC] parsed IKE_SA_INIT response 0 [ SA KE No V V N(NATD_S_IP) N(NATD_D_IP) ]<br>11[IKE] received Cisco Delete Reason vendor ID<br>11[ENC] received unknown vendor ID: 46:4c:45:58:56:50:4e:2d:53:55:50:50:4f:52:54:45:44<br>11[IKE] authentication of '10.232.90.65' (myself) with pre-shared key<br>11[IKE] establishing CHILD_SA tociscortr1{1}<br>11[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(EAP_ONLY) ]<br>11[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (364 bytes)<br>12[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (76 bytes)<br>12[ENC] parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]<br>12[IKE] received AUTHENTICATION_FAILED notify error<br>...<br>====================<br></div><div><br></div><div>On Cisco-IOS: we observe the following<br><br>*Oct  4 10:51:44.201: IKEv2:(SESSION ID = 17,SA ID = 1):Sending Packet [To <a href="http://10.232.90.65:500/From">10.232.90.65:500/From</a> <a href="http://2.2.2.123:500/VRF">2.2.2.123:500/VRF</a> i0:f0]<br>Initiator SPI : C0A966B40882995D - Responder SPI : 5CEC64B4497CA6BB Message id: 0<br>IKEv2 IKE_SA_INIT Exchange RESPONSE<br>Payload contents:<br> SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP)<br><br>*Oct  4 10:51:44.201: IKEv2:(SESSION ID = 17,SA ID = 1):Completed SA init exchange<br>*Oct  4 10:51:44.201: IKEv2:(SESSION ID = 17,SA ID = 1):Starting timer (30 sec) to wait for auth message<br><br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Received Packet [From <a href="http://10.232.90.65:500/To">10.232.90.65:500/To</a> <a href="http://2.2.2.123:500/VRF">2.2.2.123:500/VRF</a> i0:f0]<br>Initiator SPI : C0A966B40882995D - Responder SPI : 5CEC64B4497CA6BB Message id: 1<br>IKEv2 IKE_AUTH Exchange REQUEST<br>Payload contents:<br> IDi NOTIFY(INITIAL_CONTACT) IDr AUTH SA TSi TSr NOTIFY(Unknown - 16417)<br><br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Stopping timer to wait for auth message<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Checking NAT discovery<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):NAT not found<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Searching policy based on peer's identity '10.232.90.65' of type 'IPv4 address'<br>*Oct  4 10:51:44.213: IKEv2:found matching IKEv2 profile 'IKEv2_PROFILE'<br>*Oct  4 10:51:44.213: IKEv2:% Getting preshared key from profile keyring IKEv2_KEYRING<br>*Oct  4 10:51:44.213: IKEv2:% Matched peer block 'lsrdbgw1'<br>*Oct  4 10:51:44.213: IKEv2:Searching Policy with fvrf 0, local address 2.2.2.123<br>*Oct  4 10:51:44.213: IKEv2:Found Policy 'IKEv2_POLICY'<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Verify peer's policy<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Peer's policy verified<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Get peer's authentication method<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Peer's authentication method is 'PSK'<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Get peer's preshared key for 10.232.90.65<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Verify peer's authentication data<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Use preshared key for id 10.232.90.65, key len 11<br>*Oct  4 10:51:44.213: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data<br>*Oct  4 10:51:44.213: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):: Failed to authenticate the IKE SA<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Verification of peer's authentication data FAILED<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Sending authentication failure notify<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Building packet for encryption.<br>Payload contents:<br> NOTIFY(AUTHENTICATION_FAILED)<br><br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Sending Packet [To <a href="http://10.232.90.65:500/From">10.232.90.65:500/From</a> <a href="http://2.2.2.123:500/VRF">2.2.2.123:500/VRF</a> i0:f0]<br>Initiator SPI : C0A966B40882995D - Responder SPI : 5CEC64B4497CA6BB Message id: 1<br>IKEv2 IKE_AUTH Exchange RESPONSE<br>Payload contents:<br> ENCR<br><br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Auth exchange failed<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):: Auth exchange failed<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Abort exchange<br>*Oct  4 10:51:44.213: IKEv2:(SESSION ID = 17,SA ID = 1):Deleting SA<br>cisco2951-router#n<br><br>========================<br><br></div><div>2. If Cisco IOS Router is the Initiator<br><br>====================<br></div><div>On Cisco IOS:<br><br></div><div>The result is the same as in above but in the initiator's perspective...the auth exchange still fails <br><br></div><div>BUT on Strongswan (the tunnel is shown to be UP and the observations are as below....the traffic or the tunnel still is not thru though...<br><br>13[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (336 bytes)<br>13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No V V N(NATD_S_IP) N(NATD_D_IP) ]<br>13[IKE] received Cisco Delete Reason vendor ID<br>13[ENC] received unknown vendor ID: 46:4c:45:58:56:50:4e:2d:53:55:50:50:4f:52:54:45:44<br>13[IKE] 2.2.2.123 is initiating an IKE_SA<br>13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>13[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (312 bytes)<br>10[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (284 bytes)<br>10[ENC] parsed IKE_AUTH request 1 [ V IDi AUTH SA TSi TSr N(INIT_CONTACT) N(SET_WINSIZE) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]<br>10[CFG] looking for peer configs matching 10.232.90.65[%any]...2.2.2.123[2.2.2.123]<br>10[CFG] selected peer config 'tociscortr1'<br>10[IKE] authentication of '2.2.2.123' with pre-shared key successful<br>10[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding<br>10[IKE] authentication of '10.232.90.65' (myself) with pre-shared key<br>10[IKE] IKE_SA tociscortr1[1] established between 10.232.90.65[10.232.90.65]...2.2.2.123[2.2.2.123]<br>10[IKE] scheduling reauthentication in 10002s<br>10[IKE] maximum IKE_SA lifetime 10542s<br>10[IKE] CHILD_SA tociscortr1{1} established with SPIs cc36718d_i 96bc8ac5_o and TS <a href="http://192.168.1.0/24">192.168.1.0/24</a> === <a href="http://192.168.22.0/24">192.168.22.0/24</a><br>10[ENC] generating IKE_AUTH response 1 [ IDr AUTH SA TSi TSr N(AUTH_LFT) ]<br>10[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (220 bytes)<br>04[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (336 bytes)<br>04[ENC] parsed IKE_SA_INIT request 0 [ SA KE No V V N(NATD_S_IP) N(NATD_D_IP) ]<br>04[IKE] received Cisco Delete Reason vendor ID<br>04[ENC] received unknown vendor ID: 46:4c:45:58:56:50:4e:2d:53:55:50:50:4f:52:54:45:44<br>04[IKE] 2.2.2.123 is initiating an IKE_SA<br>04[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>04[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (312 bytes)<br>15[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (252 bytes)<br>15[ENC] parsed IKE_AUTH request 1 [ V IDi AUTH SA TSi TSr N(INIT_CONTACT) N(SET_WINSIZE) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]<br>15[CFG] looking for peer configs matching 10.232.90.65[%any]...2.2.2.123[2.2.2.123]<br>15[CFG] selected peer config 'tociscortr1'<br>15[IKE] authentication of '2.2.2.123' with pre-shared key successful<br>15[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding<br>15[IKE] destroying duplicate IKE_SA for peer '2.2.2.123', received INITIAL_CONTACT<br>15[IKE] authentication of '10.232.90.65' (myself) with pre-shared key<br>15[IKE] IKE_SA tociscortr1[2] established between 10.232.90.65[10.232.90.65]...2.2.2.123[2.2.2.123]<br>15[IKE] scheduling reauthentication in 10051s<br>15[IKE] maximum IKE_SA lifetime 10591s<br>15[IKE] CHILD_SA tociscortr1{1} established with SPIs cffdc48e_i 259b1890_o and TS <a href="http://192.168.1.0/24">192.168.1.0/24</a> === <a href="http://192.168.22.0/24">192.168.22.0/24</a><br>15[ENC] generating IKE_AUTH response 1 [ IDr AUTH SA TSi TSr N(AUTH_LFT) ]<br>15[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (220 bytes)<br>01[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (336 bytes)<br>01[ENC] parsed IKE_SA_INIT request 0 [ SA KE No V V N(NATD_S_IP) N(NATD_D_IP) ]<br>01[IKE] received Cisco Delete Reason vendor ID<br>01[ENC] received unknown vendor ID: 46:4c:45:58:56:50:4e:2d:53:55:50:50:4f:52:54:45:44<br>01[IKE] 2.2.2.123 is initiating an IKE_SA<br>01[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>01[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (312 bytes)<br>12[NET] received packet: from 2.2.2.123[500] to 10.232.90.65[500] (252 bytes)<br>12[ENC] parsed IKE_AUTH request 1 [ V IDi AUTH SA TSi TSr N(INIT_CONTACT) N(SET_WINSIZE) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) ]<br>12[CFG] looking for peer configs matching 10.232.90.65[%any]...2.2.2.123[2.2.2.123]<br>12[CFG] selected peer config 'tociscortr1'<br>12[IKE] authentication of '2.2.2.123' with pre-shared key successful<br>12[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding<br>12[IKE] destroying duplicate IKE_SA for peer '2.2.2.123', received INITIAL_CONTACT<br>12[IKE] authentication of '10.232.90.65' (myself) with pre-shared key<br>12[IKE] IKE_SA tociscortr1[3] established between 10.232.90.65[10.232.90.65]...2.2.2.123[2.2.2.123]<br>12[IKE] scheduling reauthentication in 9856s<br>12[IKE] maximum IKE_SA lifetime 10396s<br>12[IKE] CHILD_SA tociscortr1{1} established with SPIs c4801100_i 77e68258_o and TS <a href="http://192.168.1.0/24">192.168.1.0/24</a> === <a href="http://192.168.22.0/24">192.168.22.0/24</a><br>12[ENC] generating IKE_AUTH response 1 [ IDr AUTH SA TSi TSr N(AUTH_LFT) ]<br>12[NET] sending packet: from 10.232.90.65[500] to 2.2.2.123[500] (220 bytes)<br><br>=========================<br></div><div><br></div><div>so...is it officially not supported in strongswan (or in cisco)???<br><br></div><div>can you please advice?<br><br></div><div>thanks & regards<br></div><div>Rajiv<br><br></div><div><br><br></div><div><br><br><br></div><div><br><div><div> <br></div></div></div></div>