<div dir="ltr"><div>Hello,</div><div><br></div><div>I'm using transport mode with strongSwan 5.3.5. It works fine , but result of 'ip xfrm policy' may be somehing wrong.</div><div><br></div><div>1) I configure strongSwan-1 and stronSwan-2 as below. Then I execute 'ip xfrm policy', the result was "[strongSwan's result]" in below.</div><div>2) I launched iPhone's L2TP to strongSwan-1. Then the 'ip xfrm policy' showed "[iPhone result]"</div><div><br></div><div>Difference between above two is number of sport/dport.</div><div>Could you please tell me strongSwan-2 configuration to match iPhone's result ?</div><div><br></div><div><br></div><div>strongSwan-1</div><div>----------------------------------------------</div><div>[ipsec.conf]</div><div>conn L2TP</div><div>        left=1.1.1.254</div><div>        authby=secret</div><div>        auto=add</div><div>        keyingtries=3</div><div>        keyexchange=ikev1</div><div>        rekey=yes</div><div>        ike=3des-sha1-modp1024,aes128-sha1,aes256-sha1</div><div>        dpddelay=10</div><div>        dpdtimeout=90</div><div>        dpdaction=clear</div><div>        ikelifetime=8h</div><div>        keylife=1h</div><div>        type=transport</div><div>        leftprotoport=17/1701</div><div>        right=%any</div><div>        rightprotoport=17/%any</div><div><br></div><div>[ipsec.secrets]</div><div>1.1.1.254 %any : PSK "password"</div><div><br></div><div>strongSwan-2</div><div>----------------------------------------------</div><div>[ipsec.conf]</div><div>conn client</div><div>        authby          = secret</div><div>        keyexchange     = ikev1</div><div>        rekey           = no</div><div>        keyingtries     = 3</div><div>        type            = transport</div><div>        right           = 1.1.1.254</div><div>        left            = %defaultroute</div><div>        auto            = start</div><div>        leftprotoport   = 17/%any</div><div>        rightprotoport  = 17/1701</div><div><br></div><div><br></div><div>[ipsec.secrets]</div><div>1.1.1.254 : PSK "password"</div><div><br></div><div><br></div><div>----------------------------------------------</div><div>[strongSwan's result]</div><div># ip xfrm policy</div><div>src <a href="http://1.1.1.254/32">1.1.1.254/32</a> dst <a href="http://172.16.14.100/32">172.16.14.100/32</a> proto udp sport 1701</div><div>        dir in priority 2816 ptype main</div><div>        tmpl src 0.0.0.0 dst 0.0.0.0</div><div>                proto esp reqid 1 mode transport</div><div>src <a href="http://172.16.14.100/32">172.16.14.100/32</a> dst <a href="http://1.1.1.254/32">1.1.1.254/32</a> proto udp dport 1701</div><div>        dir out priority 2816 ptype main</div><div>        tmpl src 0.0.0.0 dst 0.0.0.0</div><div>                proto esp reqid 1 mode transport</div><div>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>   .....</div><div><br></div><div><br></div><div>----------------------------------------------</div><div>[iPhone result]</div><div>[TEST-L2TP] ~ # ip xfrm policy | less</div><div>src <a href="http://1.1.1.1/32">1.1.1.1/32</a> dst <a href="http://1.1.1.254/32">1.1.1.254/32</a> proto udp sport 1024 dport 1701</div><div>        dir in priority 2816 ptype main</div><div>        tmpl src 0.0.0.0 dst 0.0.0.0</div><div>                proto esp reqid 1 mode transport</div><div>src <a href="http://1.1.1.254/32">1.1.1.254/32</a> dst <a href="http://1.1.1.1/32">1.1.1.1/32</a> proto udp sport 1701 dport 1024</div><div>        dir out priority 2816 ptype main</div><div>        tmpl src 0.0.0.0 dst 0.0.0.0</div><div>                proto esp reqid 1 mode transport</div><div>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>  ....</div><div><br></div><div>thank you,</div><div>---</div><div>takumi kadode</div></div>