<div dir="ltr"><div>email</div><div><br></div><div>Hello,</div><div><br></div><div>I'm trying to connect route-based IPSec VPN to Cisco device (ISR) and i'm getting some errors. Configured everything as written in ROUTE-BASED-VPN page. But i'm especially not sure about ipsec.conf configuration as it's not included in that  page. </div><div><br></div><div>From cisco side i see these errors:</div><div><br></div><div>Feb 21 16:15:09.292: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Informational mode failed with peer at 39.107.111.111</div><div><br></div><div>the strongSwan (centos) box says this:</div><div><br></div><div>Feb 22 00:59:17 localhost charon: 14[NET] received packet: from 37.157.222.222[500] to 10.67.0.24[500] (164 bytes)</div><div>Feb 22 00:59:17 localhost charon: 14[ENC] parsed ID_PROT request 0 [ SA V V V V ]</div><div>Feb 22 00:59:17 localhost charon: 14[IKE] received NAT-T (RFC 3947) vendor ID</div><div>Feb 22 00:59:17 localhost charon: 14[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID</div><div>Feb 22 00:59:17 localhost charon: 14[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID</div><div>Feb 22 00:59:17 localhost charon: 14[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID</div><div>Feb 22 00:59:17 localhost charon: 14[IKE] 37.157.222.222 is initiating a Main Mode IKE_SA</div><div>Feb 22 00:59:17 localhost charon: 14[ENC] generating ID_PROT response 0 [ SA V V V ]</div><div>Feb 22 00:59:17 localhost charon: 14[NET] sending packet: from 10.67.0.24[500] to 37.157.222.222[500] (136 bytes)</div><div>Feb 22 00:59:17 localhost charon: 09[NET] received packet: from 37.157.222.222[500] to 10.67.0.24[500] (284 bytes)</div><div>Feb 22 00:59:17 localhost charon: 09[ENC] parsed ID_PROT request 0 [ KE No V V V NAT-D NAT-D ]</div><div>Feb 22 00:59:17 localhost charon: 09[IKE] received DPD vendor ID</div><div>Feb 22 00:59:17 localhost charon: 09[ENC] received unknown vendor ID: 2a:76:9d:f8:39:bf:5d:8a:06:25:60:0f:25:2c:99:36</div><div>Feb 22 00:59:17 localhost charon: 09[IKE] received XAuth vendor ID</div><div>Feb 22 00:59:17 localhost charon: 09[IKE] local host is behind NAT, sending keep alives</div><div>Feb 22 00:59:17 localhost charon: 09[IKE] no shared key found for '39.107.111.111'[10.67.0.24] - '37.157.222.222'[37.157.222.222]</div><div>Feb 22 00:59:17 localhost charon: 09[IKE] no shared key found for 10.67.0.24 - 37.157.222.222</div><div>Feb 22 00:59:17 localhost charon: 09[ENC] generating INFORMATIONAL_V1 request 3620154422 [ N(INVAL_KE) ]</div><div>Feb 22 00:59:17 localhost charon: 09[NET] sending packet: from 10.67.0.24[500] to 37.157.222.222[500] (56 bytes)</div><div><br></div><div>the configuration is as follows:</div><div><br></div><div>route based part:</div><div><br></div><div>1) ip tunnel add vti266 local 10.130.11.218 remote 10.130.11.217 mode vti key 66</div><div>2) ip link set vti266 up</div><div>3) sysctl -w net.ipv4.conf.vti266.disable_policy=1</div><div>4) ip route add <a href="http://10.0.0.0/8">10.0.0.0/8</a> dev vti266</div><div>5) /etc/strongswan/strongswan.d/charon.conf <> install_routes = no</div><div>6) /etc/strongswan/swanctl/swanctl.conf <> local_ts = <a href="http://0.0.0.0/0">0.0.0.0/0</a>  remote_ts = <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>7) /etc/strongswan/swanctl/swanctl.conf <> mark_in = 66 mark_out = 66</div><div><br></div><div>ipsec part:</div><div><br></div><div>ipsec.conf:</div><div><br></div><div>conn %default </div><div>  ikelifetime=1800m </div><div>  rekeymargin=3m </div><div>  keyingtries=%forever </div><div>  keyexchange=ikev1 </div><div>  authby=psk </div><div>  dpdaction=restart </div><div>  dpddelay=30 </div><div><br></div><div>conn remote-site      </div><div>  left=%defaultroute </div><div>  leftsubnet=<a href="http://10.0.0.0/8">10.0.0.0/8</a></div><div>  leftid=39.107.111.111</div><div>  leftfirewall=yes </div><div>  right=%any </div><div>  rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>  rightid=37.157.222.222</div><div>  auto=start</div><div>  ike=aes128-sha1-modp1536 </div><div>  esp=aes128-sha1 </div><div><br></div><div><br></div><div>[root@iZ2zegipf37wcfbz6wafz0Z ~]# cat /etc/strongswan/ipsec.secrets </div><div><br></div><div># ipsec.secrets - strongSwan IPsec secrets file</div><div>39.107.111.111 37.157.222.222 : PSK "key_to_alibaba66!@"</div><div><br></div><div>Cisco part is here:</div><div><br></div><div><br></div><div>crypto isakmp policy 10</div><div> encr aes</div><div> authentication pre-share</div><div> group 2</div><div> lifetime 1800</div><div>crypto isakmp key key_to_alibaba66!@ address 39.107.111.111  </div><div> crypto isakmp keepalive 10 10</div><div><br></div><div>crypto ipsec security-association replay window-size 128</div><div><br></div><div><br></div><div>crypto ipsec transform-set ALIBABA_AES_SHA_TRANSFORM_SET esp-aes esp-sha-hmac </div><div> mode tunnel</div><div><br></div><div><br></div><div>$ crypto ipsec df-bit clear</div><div>!</div><div>crypto ipsec profile ALIBABA_AES_SHA_IPSEC_PROFILE</div><div> set transform-set ALIBABA_AES_SHA_TRANSFORM_SET </div><div> set pfs group2</div><div><br></div><div><br></div><div> interface Tunnel266</div><div> description ITXRTRO1-Alibaba_test</div><div> ip address 10.130.11.217 255.255.255.252</div><div> ip mtu 1400</div><div> ip tcp adjust-mss 1360</div><div> tunnel source ip 37.157.222.222</div><div> tunnel destination 39.107.111.111</div><div> tunnel path-mtu-discovery</div><div> tunnel protection ipsec profile ALIBABA_AES_SHA_IPSEC_PROFILE</div><div><br></div><div><br></div><div>what could be wrong ? thank you for any input</div><div><br></div></div>