
<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000066" bgcolor="#FFFFFF">

    Trying a more complex config, still the problem.  <a

      href="https://wiki.strongswan.org/projects/strongswan/wiki/HelpRequests">pro

      forma</a>:<br>

    <br>

    Thu, 2018-03-22 14:32 15[MGR] IKE_SA (unnamed)[1] successfully

    checked out<br>

    Thu, 2018-03-22 14:32 15[IKE] <1> sending keep alive to

    172.56.42.115[40819]<br>

    Thu, 2018-03-22 14:32 15[MGR] <1> checkin IKE_SA (unnamed)[1]<br>

    Thu, 2018-03-22 14:32 15[MGR] <1> checkin of IKE_SA successful<br>

    <font color="#cc0000">Thu, 2018-03-22 14:32 04[NET] sending packet:

      from 192.168.111.16[4500] to 172.56.42.115[40819]</font><br>

    Thu, 2018-03-22 14:32 01[JOB] next event in 10s 10ms, waiting<br>

    Thu, 2018-03-22 14:33 01[JOB] got event, queuing job for execution<br>

    Thu, 2018-03-22 14:33 01[JOB] next event in 6s 109ms, waiting<br>

    Thu, 2018-03-22 14:33 11[MGR] checkout IKEv2 SA with SPIs

    4bfbf65c4f79d139_i b74ab4f66bc3cb9d_r<br>

    Thu, 2018-03-22 14:33 11[MGR] IKE_SA (unnamed)[1] successfully

    checked out<br>

    <font color="#cc0000">Thu, 2018-03-22 14:33 11[JOB] <1>

      deleting half open IKE_SA with 172.56.42.115 after timeout</font><br>

    Thu, 2018-03-22 14:33 11[MGR] <1> checkin and destroy IKE_SA

    (unnamed)[1]<br>

    Thu, 2018-03-22 14:33 11[IKE] <1> IKE_SA (unnamed)[1] state

    change: CONNECTING => DESTROYING<br>

    Thu, 2018-03-22 14:33 11[MGR] checkin and destroy of IKE_SA

    successful<br>

    <br>

    <u>It's still not even reaching the IPSec gateway's eth0 interface</u>

    -- given tcpdump.  Never reaches its own interface, much less the

    LAN gateway's interfaces to be forwarded on to the phone.<br>

    <br>

-------------------------------------------------------------------------------------------------------<br>

    No port 4500 packet hitting its own interface.  Only a keep-alive.<br>

    <br>

    So of course the phone times out and tears down the circuit.<br>

    <br>

    Attached hereto:  charon.log and iptables-save.  SELinux is

    Permissive.<br>

    <br>

    I even tried this with # shorewall clear in the IPSec gateway. 

    (stops the firewall and opens everything wide)  No change.<br>

    <br>

-------------------------------------------------------------------------------------------------------<u><br>

      <br>

      strongswan.conf:</u><br>

    charon {<br>

            load_modular = yes<br>

            plugins {<br>

                    include strongswan.d/charon/*.conf<br>

            }<br>

    }<br>

    include strongswan.d/*.conf<br>

    <br>

    <u>charon.conf</u><br>

    charon {<br>

    <br>

    <br>

    # two defined file loggers<br>

        filelog {<br>

            /var/log/charon.log {<br>

                time_format = %a, %Y-%m-%d %R<br>

                ike_name = yes<br>

                append = no<br>

                default = 2<br>

                flush_line = yes<br>

            }<br>

            stderr {<br>

                    mgr = 0<br>

                    net = 1<br>

                    enc = 1<br>

                    asn = 1<br>

                    job = 1<br>

                    knl = 1<br>

            }<br>

        }<br>

    <br>

    <br>

    <u>swanctl.conf:</u><br>

    connections {<br>

    <br>

            ikev2-pubkey {<br>

                    version = 2<br>

                    rekey_time = 0s<br>

                    pools = primary-pool-ipv4 #, primary-pool-ipv6<br>

                    fragmentation = yes<br>

                    dpd_delay = 30s<br>

                    local-1 {<br>

                            id = quantum-equities.com<br>

                    }<br>

            remote-1 {<br>

                    # defaults are fine.<br>

            }<br>

            children {<br>

                    ikev2-pubkey {<br>

    local_ts = %any<br>

    remote_ts = %any<br>

                    rekey_time = 0s<br>

                    dpd_action = clear<br>

                    }<br>

            }<br>

            }<br>

    }<br>

    <br>

    <br>

    # swanctl -L<br>

    ikev2-pubkey: IKEv2, no reauthentication, no rekeying<br>

      local:  %any<br>

      remote: %any<br>

      local unspecified authentication:<br>

        id: quantum-equities.com<br>

      remote unspecified authentication:<br>

      ikev2-pubkey: TUNNEL, no rekeying<br>

        local:  0.0.0.0/32<br>

        remote: 0.0.0.0/32<br>

    # swanctl -l<br>

    <br>

    <br>

    # ip route show table all<br>

    default via 192.168.1.1 dev eth0 <br>

    169.254.0.0/16 dev eth0 scope link metric 1002 <br>

    192.168.111.0/24 dev eth0 proto kernel scope link src 192.168.1.16 <br>

    broadcast 127.0.0.0 dev lo table local proto kernel scope link src

    127.0.0.1 <br>

    local 127.0.0.0/8 dev lo table local proto kernel scope host src

    127.0.0.1 <br>

    local 127.0.0.1 dev lo table local proto kernel scope host src

    127.0.0.1 <br>

    broadcast 127.255.255.255 dev lo table local proto kernel scope link

    src 127.0.0.1 <br>

    broadcast 192.168.1.0 dev eth0 table local proto kernel scope link

    src 192.168.1.16 <br>

    local 192.168.1.16 dev eth0 table local proto kernel scope host src

    192.168.1.16 <br>

    broadcast 192.168.1.255 dev eth0 table local proto kernel scope link

    src 192.168.1.16 <br>

    unreachable ::/96 dev lo metric 1024 error -113 <br>

    unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -113 <br>

    unreachable 2002:a00::/24 dev lo metric 1024 error -113 <br>

    unreachable 2002:7f00::/24 dev lo metric 1024 error -113 <br>

    unreachable 2002:a9fe::/32 dev lo metric 1024 error -113 <br>

    unreachable 2002:ac10::/28 dev lo metric 1024 error -113 <br>

    unreachable 2002:c0a8::/32 dev lo metric 1024 error -113 <br>

    unreachable 2002:e000::/19 dev lo metric 1024 error -113 <br>

    unreachable 3ffe:ffff::/32 dev lo metric 1024 error -113 <br>

    fe80::/64 dev eth0 proto kernel metric 256 <br>

    fe80::/64 dev ipsec0 proto kernel metric 256 <br>

    local ::1 dev lo table local proto kernel metric 0 <br>

    local fe80::2ad0:4f3a:fd2c:5f8c dev lo table local proto kernel

    metric 0 <br>

    local fe80::5054:ff:fec0:9330 dev lo table local proto kernel metric

    0 <br>

    ff00::/8 dev eth0 table local metric 256 <br>

    ff00::/8 dev ipsec0 table local metric 256<br>

    <br>

    <br>

    # ip address<br>

    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state

    UNKNOWN qlen 1000<br>

        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<br>

        inet 127.0.0.1/8 scope host lo<br>

           valid_lft forever preferred_lft forever<br>

        inet6 ::1/128 scope host <br>

           valid_lft forever preferred_lft forever<br>

    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc

    pfifo_fast state UP qlen 1000<br>

        link/ether 52:54:00:c0:93:30 brd ff:ff:ff:ff:ff:ff<br>

        inet 192.168.1.16/24 brd 192.168.1.255 scope global eth0<br>

           valid_lft forever preferred_lft forever<br>

        inet6 fe80::5054:ff:fec0:9330/64 scope link <br>

           valid_lft forever preferred_lft forever<br>

    56: ipsec0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400

    qdisc pfifo_fast state UNKNOWN qlen 500<br>

        link/none <br>

        inet6 fe80::2ad0:4f3a:fd2c:5f8c/64 scope link flags 800 <br>

           valid_lft forever preferred_lft forever<br>

    <br>

  </body>

</html>