<div dir="ltr">Thanks Tobias!! That did the trick. Specifically I added this to the config flags:<br>    --disable-gmp --enable-openssl<div><br></div><div>In my defense regarding that load statement, I was working from this example: <a href="https://www.strongswan.org/testing/testresults/swanctl/frags-ipv4/">https://www.strongswan.org/testing/testresults/swanctl/frags-ipv4/</a><br></div><div><br></div><div>Everything's loading successfully now, and I see the beginning of an IKEv2 negotiation when I ping from one host to the other. Great progress!<br><div><br></div><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">
> but the local_addrs/remote_addrs/<wbr>local_ts/remote_ts +<br>
> start_action=trap in swanctl.conf looks like it should get the job done.<br>
<br>
</span>You can do the same thing with ipsec.conf.</blockquote><div><br></div><div>I'm missing how... it seems like all the examples include both a "left" and a "right", the rvals for which can be IP addresses but not CIDR blocks.</div><div><br></div><div>Could you nudge me in the right direction with a keyword or something I can search / read on to figure out how to do that?</div><div><br></div><div>Semi-related observation: there are more examples / richer documentation for ipsec.conf, including web search results, than for swanctl.conf. All else being equal, I'd rather be in the mainstream so I can use other people's known-good configs as a reference point. Is the intent to eventually deprecate ipsec.conf in favor of swanctl, or is swanctl just an alternative?</div></div></div></div></div>