<div><br></div><div><includetail><div style="font:Verdana normal 14px;color:#000;"><div> </div><div><br></div><div>Hi andreas,</div><div>                   I have followed the procedures clearly , but i could n't bring the tunnel up. can you help me out to find the bug in the configuration.</div><div><br></div><div>10.0.53.0/24 Server A (69.28.X.X) ----------IP Sec Tunnel--------------      (106.2.X.X)Server B 10.56.0.0/24</div><div><br></div><div><div>config setup</div><div># strictcrlpolicy=yes</div><div># uniqueids = no</div><div><br></div><div>conn %default</div><div>        ikelifetime=60m</div><div>        keylife=20m</div><div>        rekeymargin=3m</div><div>        keyingtries=1</div><div>        authby=secret</div><div>        keyexchange=ikev2</div><div><br></div><div>conn VTI</div><div>        auto=start</div><div>        type=tunnel</div><div>        aggressive=no</div><div>        ike=aes256-sha1-modp1024,3des-sha1-modp1024</div><div>        esp=aes256-sha1,3des-sha1</div><div>        mark_in=1</div><div>        mark_out=1</div><div><br></div><div>        left=106.2.X.X</div><div>        leftsubnet=10.56.2.0/24</div><div>        leftauth=psk</div><div>        leftfirewall=yes</div><div><br></div><div>        right=69.28.X.X</div><div>        rightsubnet=10.0.53.0/24</div><div>        rightauth=psk</div><div>        rightfirewall=yes</div></div><div><br></div><div><div style="  ;; font-size: 12px; "><font color="#909090">ipsec.secrets.</font><br><div style="color: rgb(144, 144, 144);">106.2.X.X 69.28.X.X : PSK secret</div><div style="color: rgb(144, 144, 144);">-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------</div><font color="#ff9900"><b>SERVER B</b></font></div><div style="color:#909090;font-family:Arial Narrow;font-size:12px"><br></div><div style=""><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">config setup</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        # strictcrlpolicy=yes</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        # uniqueids = no</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;"><br></span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">conn %default</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        ikelifetime=60m</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        keylife=20m</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        rekeymargin=3m</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        keyingtries=1</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        authby=secret</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        keyexchange=ikev2</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;"><br></span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">conn VTI</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        auto=start</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        closeaction=restart</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        type=tunnel</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        aggressive=no</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        ike=aes256-sha1-modp1024,3des-sha1-modp1024</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        esp=aes256-sha1,3des-sha1</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        mark_in=1</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        mark_out=1</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        left=69.28.X.X</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        leftsubnet=10.0.53.0/24</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        leftauth=psk</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        leftfirewall=yes</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;"><br></span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        right=106.2.X.X</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        rightsubnet=10.56.2.0/24</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        rightauth=psk</span></font></div><div style=""><font face="Arial Narrow" color="#ff9900"><span style="font-size: 12px;">        rightfirewall=yes</span></font></div><div style=" color: rgb(144, 144, 144) ; ;; font-size: 12px; "><br></div></div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">---------------------------------------------------------------------------------------------------------------------------------------------</div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">Routing: </div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">                <span style=" color: rgb(34, 34, 34) ; ; ; ; "># Create a VTI link on Site1 server A with same mark as the connection:</span></div><span style=" color: rgb(34, 34, 34) ; ; ; ; ">ip link add vti0 type vti local 69.28.X.X </span><span style=" color: rgb(34, 34, 34) ; ; ; ; "> remote 106.2.X.X key 32</span><br style=" color: rgb(34, 34, 34) ; ; ; ; "><span style=" color: rgb(34, 34, 34) ; ; ; ; "># Add route to tunnel:</span><br style=" color: rgb(34, 34, 34) ; ; ; ; "><span style=" color: rgb(34, 34, 34) ; ; ; ; ">ip route add 69.28.X.X.0/24 dev vti0</span><div style="color:#909090;font-family:Arial Narrow;font-size:12px">--------------------------------------------------------------------------------------------------------------------------------------------</div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">--------------------------------------------------------------------------------------------------------------------------------------------</div><div style="color:#909090;font-family:Arial Narrow;font-size:12px"><div><span style=" color: rgb(34, 34, 34) ; ; ; ; "># Create a VTI link on Site2 server B with same mark as the connection:</span></div><span style=" color: rgb(34, 34, 34) ; ; ; ; ">ip link add vti0 type vti local 106.2.X.X </span><span style=" color: rgb(34, 34, 34) ; ; ; ; "> remote 69.28X.X key 32</span><br style=" color: rgb(34, 34, 34) ; ; ; ; "><span style=" color: rgb(34, 34, 34) ; ; ; ; "># Add route to tunnel:</span><br style=" color: rgb(34, 34, 34) ; ; ; ; "><span style=" color: rgb(34, 34, 34) ; ; ; ; ">ip route add 106.2.X.X.0/24 dev vti0</span></div><div style="color:#909090;font-family:Arial Narrow;font-size:12px"><br></div><div style="color:#909090;font-family:Arial Narrow;font-size:12px">------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------</div><div style="  ;; font-size: 12px; "><div style=""><font color="#ff00ff"><b>SERVER B output </b></font></div><div style=""><font color="#ff00ff"><b> ipsec statusall</b></font></div><div style=""><font color="#ff00ff">Status of IKE charon daemon (strongSwan 5.5.0, Linux 4.4.0-93-generic, x86_64):</font></div><div style=""><font color="#ff00ff">  uptime: 4 seconds, since Oct 18 16:13:00 2017</font></div><div style=""><font color="#ff00ff">  malloc: sbrk 1753088, mmap 0, used 352816, free 1400272</font></div><div style=""><font color="#ff00ff">  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 1</font></div><div style=""><font color="#ff00ff">  loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic</font></div><div style=""><font color="#ff00ff">Listening IP addresses:</font></div><div style=""><font color="#ff00ff">  69.28.X.X</font></div><div style=""><font color="#ff00ff">  10.0.</font><span style="color: rgb(255, 0, 255);">X.X</span></div><div style=""><font color="#ff00ff">Connections:</font></div><div style=""><font color="#ff00ff">         VTI:  69.28.X.X...106.2.X.X  IKEv2</font></div><div style=""><font color="#ff00ff">         VTI:   local:  [69.28.X.X] uses pre-shared key authentication</font></div><div style=""><font color="#ff00ff">         VTI:   remote: [106.2.X.X] uses pre-shared key authentication</font></div><div style=""><font color="#ff00ff">         VTI:   child:  10.0.53.0/24 === 10.56.2.0/24 TUNNEL</font></div><div style=""><font color="#ff00ff">Security Associations (0 up, 1 connecting):</font></div><div style=""><font color="#ff00ff">         VTI[1]: CONNECTING, 69.28.X.X[%any]...106.2.X.X[%any]</font></div><div style=""><font color="#ff00ff">         VTI[1]: IKEv2 SPIs: 9aa246cce07c3d09_i* 0000000000000000_r</font></div><div style=""><font color="#ff00ff">         VTI[1]: Tasks active: IKE_VENDOR IKE_INIT IKE_NATD IKE_CERT_PRE IKE_AUTH IKE_CERT_POST IKE_CONFIG CHILD_CREATE IKE_AUTH_LIFETIME IKE_MOBIKE</font></div><div style="color: rgb(144, 144, 144);"><br></div><br></div><div style="  ;; font-size: 12px; "><b><br></b></div><div style="  ;; font-size: 12px; "><b>If you do not mind can you provide some sample configuration to establish  route based ipsec VPn  (VTI) .between two ubuntu servers.</b></div><div style="color:#909090;font-family:Arial Narrow;font-size:12px"><br></div><div style="font-size:14px;font-family:Verdana;color:#000;"><div><br></div><div><br></div>Regards,<br>Vic <br><br><br></div></div></div></includetail></div>