<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)">Hi Everyone, </div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)">I'm in midst of building IPsec tunnel towards a Mikrotik router. </div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)">Phase 1 IKE establishes successfully but Phase 2 CHILD_SA fails. Kindly advise me on the failing point. </div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)"><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)">My strongswan config is as below : </div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(11,83,148)"><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">package strongswan</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif"><br></font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">config general 'general'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option strictcrlpolicy 'no'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option cachecrls 'no'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option crlcheckinterval '0'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option uniqueids 'yes'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option enabled '1'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option keepalive '30'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option debug 'all'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif"><br></font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">config connection</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option ikeversion '2'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option enabled 'yes'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option name 'VPNHUB01'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option waniface 'wan1 wan2'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option locallan '11.11.11.1'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option locallanmask '255.255.255.0'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option remoteaddress '103.54.93.45'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option remotelan '12.12.12.1'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option remotelanmask '255.255.255.0'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option type 'tunnel'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option dpdaction 'restart'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option dpddelay '30s'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option dpdtimeout '120s'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option ike 'aes128-sha1-modp1024'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option esp 'aes128-sha1'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option ikelifetime '24h'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option rekeymargin '9m'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option keylife '8h'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option keyingtries '%forever'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option auto 'start'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option authby 'psk'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif"><br></font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">config secret</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option enabled 'yes'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option remoteaddress '103.54.93.45'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option secret 'cisco'</font></div></div><div class="gmail_default"><div class="gmail_default"><font color="#0b5394" face="tahoma, sans-serif">        option secrettype 'psk'</font></div></div></blockquote><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><br></div><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><br></div><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small">Logs lines : </div><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><br></div></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:37 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[IKE] <VPNHUB01|1> initiating IKE_SA VPNHUB01[1] to 103.54.93.45</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:37 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[ENC] <VPNHUB01|1> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:37 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[NET] <VPNHUB01|1> sending packet: from 10.8.162.93[500] to 103.54.93.45[500] (564 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:38 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[NET] <VPNHUB01|1> received packet: from 103.54.93.45[500] to 10.8.162.93[500] (296 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:38 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[ENC] <VPNHUB01|1> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:38 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> local host is behind NAT, sending keep alives</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:38 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> authentication of '10.8.162.93' (myself) with pre-shared key</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:38 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> establishing CHILD_SA VPNHUB01</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:38 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[ENC] <VPNHUB01|1> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) N(EAP_ONLY) ]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:39 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[NET] <VPNHUB01|1> sending packet: from 10.8.162.93[4500] to 103.54.93.45[4500] (348 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:43 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 08[IKE] <VPNHUB01|1> retransmit 1 of request with message ID 1</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:43 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 08[NET] <VPNHUB01|1> sending packet: from 10.8.162.93[4500] to 103.54.93.45[4500] (348 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:50 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[IKE] <VPNHUB01|1> retransmit 2 of request with message ID 1</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:50 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[NET] <VPNHUB01|1> sending packet: from 10.8.162.93[4500] to 103.54.93.45[4500] (348 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[NET] <VPNHUB01|1> received packet: from 103.54.93.45[4500] to 10.8.162.93[4500] (348 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[ENC] <VPNHUB01|1> parsed IKE_AUTH response 1 [ IDr AUTH N(TS_UNACCEPT) ]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> authentication of '103.54.93.45' with pre-shared key successful</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> IKE_SA VPNHUB01[1] established between 10.8.162.93[10.8.162.93]...<wbr>103.54.93.45[103.54.93.45]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> scheduling rekeying in 85411s</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> maximum IKE_SA lifetime 85951s</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> received TS_UNACCEPTABLE notify, no CHILD_SA built</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:48:51 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 12[IKE] <VPNHUB01|1> failed to establish CHILD_SA, keeping IKE_SA</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:21 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[IKE] <VPNHUB01|1> establishing CHILD_SA VPNHUB01</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:21 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[ENC] <VPNHUB01|1> generating CREATE_CHILD_SA request 2 [ SA No TSi TSr ]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:21 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[NET] <VPNHUB01|1> sending packet: from 10.8.162.93[4500] to 103.54.93.45[4500] (300 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:22 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 10[NET] <VPNHUB01|1> received packet: from 103.54.93.45[4500] to 10.8.162.93[4500] (220 bytes)</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:22 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 10[ENC] <VPNHUB01|1> parsed CREATE_CHILD_SA response 2 [ N(TS_UNACCEPT) ]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:22 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 10[IKE] <VPNHUB01|1> received TS_UNACCEPTABLE notify, no CHILD_SA built</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:22 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 10[IKE] <VPNHUB01|1> failed to establish CHILD_SA, keeping IKE_SA</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:45 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 10[IKE] <VPNHUB01|1> sending keep alive to 103.54.93.45[4500]</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div>Jun 12 14:49:52 <a href="http://daemon.info" target="_blank">daemon.info</a> 00E0C813015C ipsec: 11[IKE] <VPNHUB01|1> sending DPD request</div></div></div><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><div><br></div></div></div></blockquote><div class="gmail_default"><div style="color:rgb(11,83,148);font-family:tahoma,sans-serif;font-size:small"><br></div></div><div><div class="m_-2572230613304028933gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p style="margin-bottom:0.0001pt;background-image:initial;background-position:initial;background-repeat:initial"><span style="font-size:9pt"></span></p></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>