<div dir="ltr"><div><div>Hello Strongswan list,<br><br></div>I have a trouble with an IPSEC site-to-site VPN from a Cisco ASA and strongswan version 5.5.3, Linux 3.10.0-327.10.1.el7.x86_64.<br></div><div><br></div><div>With Strongwan, i want to send two subnet: <a href="http://172.16.5.0/24">172.16.5.0/24</a> and <a href="http://192.168.1.0/24">192.168.1.0/24</a>.</div><div>When i start strongswan, no error, all ping pass throught ipsec tunnel and no problem.</div><div>After 7h (probably after a re-auth), two tunnels are inserted for the same subnet. The other subnet continue to work as expected. Only one "crash". One ping over two has been drop.<br></div><div><br></div><div>Please find below output command of "statusall":</div><div><br></div><div><i>#strongswan statusall<br>Status of IKE charon daemon (strongSwan 5.5.3, Linux 3.10.0-327.10.1.el7.x86_64, x86_64):<br>  uptime: 26 hours, since Jan 03 14:53:30 2018<br>  malloc: sbrk 1622016, mmap 0, used 529568, free 1092448<br>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 8<br>  loaded plugins: charon aes des rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp curve25519 xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp unity<br>Listening IP addresses:<br>  185.119.XXX.XXX<br>  172.16.0.0<br>  2a06:8bc0:XXX<br>  10.8.0.1<br>Connections:<br>    conn-1:  </i><i><i>185.119.XXX.YYY</i>...46.31.ZZ.ZZ  IKEv1<br>    </i><i><i>conn</i>-1:   local:  [</i><i><i><i>185.119.XXX.YYY</i>.</i>] uses pre-shared key authentication<br>    </i><i><i>conn</i>-1:   remote: [</i><i><i>46.31.ZZ.ZZ</i>] uses pre-shared key authentication<br>    </i><i><i>conn</i>-1:   child:  <a href="http://192.168.1.0/24">192.168.1.0/24</a> === <a href="http://10.2.1.192/29">10.2.1.192/29</a> TUNNEL<br>    </i><i><i>conn</i>-2:   child:  <a href="http://172.16.5.0/24">172.16.5.0/24</a> === <a href="http://10.2.1.192/29">10.2.1.192/29</a> TUNNEL<br>Security Associations (1 up, 0 connecting):<br>    </i><i><i>conn</i>-1[7]: ESTABLISHED 2 hours ago, </i><i><i><i>185.119.XXX.YYY</i>.</i>[</i><i><i><i>185.119.XXX.YYY</i>.</i>]...</i><i><i>46.31.ZZ.ZZ</i>[</i><i><i>46.31.ZZ.ZZ</i>]<br>    </i><i><i>conn</i>-1[7]: IKEv1 SPIs: f8490bafd768b806_i* 86c5c1b6cb09c905_r, pre-shared key reauthentication in 5 hours<br>    </i><i><i>conn</i>-1[7]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536<br>    </i><i><i>conn</i>-2{817}:  INSTALLED, TUNNEL, reqid 71, ESP SPIs: c70f39e7_i 474d86cc_o<br>    </i><i><i>conn</i>-2{817}:  AES_CBC_256/HMAC_SHA1_96/MODP_1024, 65021 bytes_i (1413 pkts, 27s ago), 1535741 bytes_o (3046 pkts, 27s ago), rekeying in 6 hours<br>    </i><i><i>conn</i>-2{817}:   <a href="http://172.16.5.0/24">172.16.5.0/24</a> === <a href="http://10.2.1.192/29">10.2.1.192/29</a><br><b>    </b></i><i><b><i>conn</i>-1{867}:  INSTALLED, TUNNEL, reqid 69, ESP SPIs: cf6a0fee_i 4d77c585_o<br>    </b></i><i><b><i>conn</i>-1{867}:  AES_CBC_256/HMAC_SHA1_96/MODP_1024, 0 bytes_i, 0 bytes_o, rekeying in 6 hours<br>    </b></i><i><b><i>conn</i>-1{867}:   <a href="http://192.168.1.0/24">192.168.1.0/24</a> === <a href="http://10.2.1.192/29">10.2.1.192/29</a><br>    </b></i><i><b><i>conn</i>-1{869}:  INSTALLED, TUNNEL, reqid 69, ESP SPIs: c3e3a651_i 7d5fc4f2_o<br>    </b></i><i><b><i>conn</i>-1{869}:  AES_CBC_256/HMAC_SHA1_96/MODP_1024, 4441746 bytes_i (3181 pkts, 419s ago), 54984 bytes_o (1373 pkts, 419s ago), rekeying in 6 hours<br>    </b></i><i><b><i>conn</i>-1{869}:   <a href="http://192.168.1.0/24">192.168.1.0/24</a> === <a href="http://10.2.1.192/29">10.2.1.192/29</a></b><br><br></i></div><div><i><br></i></div><div>Here my configuration:</div><div><br></div><div><i># ipsec.conf - strongSwan IPsec configuration file<br><br># basic configuration<br><br>config setup<br>        # strictcrlpolicy=yes<br>        charondebug="cfg 2, chd 1, dmn 1, ike 1, knl 1, net 1"<br>        # uniqueids = no<br><br># Add connections here.<br><br># Sample VPN connections<br>conn conn--1<br>    auto=start<br>    rightsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>    authby=secret<br>    compress=no<br>    closeaction=restart<br>    mobike=no<br>    keyexchange=ikev1<br>    keyingtries=1<br>    rekeymargin=3m<br>    ike=aes256-sha-modp1536<br>    esp=aes256-sha-modp1024<br>    ikelifetime=28800s<br>    lifetime=28800s<br>    left=46.31.ZZ.ZZ<br>    right=185.119.XXX.YYY<br>    leftsubnet=<a href="http://10.2.1.192/29">10.2.1.192/29</a><br>    leftid=46.31.ZZ.ZZ<br>    rightid=185.119.XXX.YYY<br><br>conn conn-2<br>    auto=start<br>    rightsubnet=<a href="http://172.16.5.0/24">172.16.5.0/24</a><br>    authby=secret<br>    compress=no<br>    closeaction=restart<br>    mobike=no<br>    rekeymargin=3m<br>    keyexchange=ikev1<br>    ike=aes256-sha-modp1536<br>    esp=aes256-sha-modp1024<br>    ikelifetime=28800s<br>    keyingtries=1<br>    lifetime=28800s<br>    left=46.31.ZZ.ZZ<br>    right=185.119.XXX.YYY<br>    leftsubnet=<a href="http://10.2.1.192/29">10.2.1.192/29</a><br>    leftid=46.31.ZZ.ZZ</i></div><div><i><br></i></div><div><i><br></i></div><div>If i set rightsubnet, separared by a comma, only one subnet over two is UP.<br></div><div><i></i></div><div><div><div>I have disable cisco_unity plugin (same behaviour if this plugin is enabled).<br></div><div><br></div><div>Do you have any hint to mount an IPSEC site-to-site, with two subnet, working even after a rekey or reauth ?</div><div>Any logging lines can help me ?</div><div><br></div><div>Thanks in advance,</div><div>Regards.<br>-- <br><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><p><font size="2"><span style="color:rgb(68,68,68)"><span style="font-family:tahoma,sans-serif"><b>Loïc CHABERT - Responsable technique</b></span></span><span style="font-family:tahoma,sans-serif;color:rgb(68,68,68)"><b><br></b></span><b style="color:rgb(68,68,68);font-family:tahoma,sans-serif">Voxity - Libérez vos Télécoms<br></b></font></p><p><span style="color:rgb(68,68,68);font-size:small;font-family:tahoma,sans-serif">85 Rue des Alliés 38100 Grenoble<br></span><span style="color:rgb(68,68,68);font-family:tahoma,sans-serif;font-size:small">Tel : </span><span style="color:rgb(68,68,68);font-family:tahoma,sans-serif;font-size:small">0975181257 - Fax : 04.816.801.14<br></span><span style="color:rgb(68,68,68);font-family:tahoma,sans-serif;font-size:small">Email : <a href="mailto:jp.ramoul@voxity.fr" target="_blank">loic.chabert@voxity.fr</a><br></span></p><span style="font-family:tahoma,sans-serif"><font size="2"><font color="#818181">Restons connectés : </font><font color="#9fc5e8"><a href="http://www.voxity.fr" target="_blank">Site Web</a> - <a href="http://twitter.com/voxity" target="_blank">Twitter</a> - <a href="http://www.facebook.com/voxity" target="_blank">Facebook</a> </font></font></span><font color="#9fc5e8"><span style="font-family:tahoma,sans-serif;font-size:small">- </span><a href="https://www.linkedin.com/profile/view?id=25351096" target="_blank"><font size="2" face="tahoma, sans-serif">L</font>inkedIn</a><span style="color:rgb(153,153,153)"><span style="color:rgb(204,204,204)"><span><span style="font-family:tahoma,sans-serif"><font size="2"><font color="#818181"><br><b>Nouveau !</b> Découvrez Voxity en vidéo : <a href="https://www.youtube.com/watch?v=nUVL5fTNmVU" target="_blank">Youtube</a></font></font></span></span></span></span></font></div></div></div></div>
</div></div></div></div>