<div dir="ltr">Hi,<div>I am trying to get a host to host tunnel up between two Ubuntu 14.04 machines. Either or both of these machines could be behind NAT as well, not sure if that matters for this question, but FYI.</div><div><br></div><div>I'd think I need to specify auto=start on both the machines since either could be the initiator. </div><div>However, if I do this, I see two entries for IKE_SAs and one entry for the IPsec SA. </div><div><br></div><div><b>Log with uniqueids=yes:</b></div><div><b>====================</b></div><div><div>Security Associations (2 up, 0 connecting):</div><div>   1.1.1.1[5]: ESTABLISHED 24 seconds ago, 2.2.2.2[C=US, ST=CA, L=Texas]...1.1.1.1[C=US, ST=CA, L=Texas]</div><div>   1.1.1.1[4]: ESTABLISHED 28 seconds ago, 2.2.2.2[C=US, ST=CA, L=Texas]...1.1.1.1[C=US, ST=CA, L=Texas]</div><div>   1.1.1.1{3}:  INSTALLED, TRANSPORT, ESP SPIs: c3b2d3f8_i c7d9c0d2_o</div><div>   1.1.1.1{3}:   <a href="http://2.2.2.2/32">2.2.2.2/32</a> === <a href="http://1.1.1.1/32">1.1.1.1/32</a> </div></div><div><br></div><div>Few seconds later:</div><div><div>Security Associations (1 up, 0 connecting):</div><div>   1.1.1.1[6]: ESTABLISHED 2 seconds ago, 2.2.2.2[C=US, ST=CA, L=Texas]...1.1.1.1[C=US, ST=CA, L=Texas]</div></div><div><br></div><div>Also, I see lot of "failed to establish CHILD_SA, keeping IKE_SA" in logs. The reasons before this line seem to be either:<br></div><div><br></div><div>1) received NO_PROPOSAL_CHOSEN notify, no CHILD_SA built</div><div>2) unable to install policy <a href="http://1.100.0.9/32">1.100.0.9/32</a> === <a href="http://1.100.0.5/32">1.100.0.5/32</a> in (mark 0/0x00000000) for reqid 2, the same policy for reqid 1 exists</div><div><br></div><div>What is happening here? Is it the case that after A->B (initiator->responder) IPsec SA is up, B is attempting B->A again? And if uniqueids=yes (default), this will lead to the bug in <a href="https://wiki.strongswan.org/issues/431">https://wiki.strongswan.org/issues/431</a> ?</div><div><div><br></div></div><div>Is my understanding right? Is A->B tunnel different from B->A?</div><div><br></div><div>Could someone please give some pointers to help me understand this.</div><div><br></div><div>Thanks.</div><div><br></div><div>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-size:12.8px">Piyush Agarwal</span><br></div><div><span style="color:rgb(17,17,17)"><font face="arial, helvetica, sans-serif" size="2">Life can only be understood backwards; but it must be lived forwards.</font></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div></div>