<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000066" bgcolor="#FFFFFF">
    Trying a more complex config, still the problem.  <a
      href="https://wiki.strongswan.org/projects/strongswan/wiki/HelpRequests">pro
      forma</a>:<br>
    <br>
    Thu, 2018-03-22 14:32 15[MGR] IKE_SA (unnamed)[1] successfully
    checked out<br>
    Thu, 2018-03-22 14:32 15[IKE] <1> sending keep alive to
    172.56.42.115[40819]<br>
    Thu, 2018-03-22 14:32 15[MGR] <1> checkin IKE_SA (unnamed)[1]<br>
    Thu, 2018-03-22 14:32 15[MGR] <1> checkin of IKE_SA successful<br>
    <font color="#cc0000">Thu, 2018-03-22 14:32 04[NET] sending packet:
      from 192.168.111.16[4500] to 172.56.42.115[40819]</font><br>
    Thu, 2018-03-22 14:32 01[JOB] next event in 10s 10ms, waiting<br>
    Thu, 2018-03-22 14:33 01[JOB] got event, queuing job for execution<br>
    Thu, 2018-03-22 14:33 01[JOB] next event in 6s 109ms, waiting<br>
    Thu, 2018-03-22 14:33 11[MGR] checkout IKEv2 SA with SPIs
    4bfbf65c4f79d139_i b74ab4f66bc3cb9d_r<br>
    Thu, 2018-03-22 14:33 11[MGR] IKE_SA (unnamed)[1] successfully
    checked out<br>
    <font color="#cc0000">Thu, 2018-03-22 14:33 11[JOB] <1>
      deleting half open IKE_SA with 172.56.42.115 after timeout</font><br>
    Thu, 2018-03-22 14:33 11[MGR] <1> checkin and destroy IKE_SA
    (unnamed)[1]<br>
    Thu, 2018-03-22 14:33 11[IKE] <1> IKE_SA (unnamed)[1] state
    change: CONNECTING => DESTROYING<br>
    Thu, 2018-03-22 14:33 11[MGR] checkin and destroy of IKE_SA
    successful<br>
    <br>
    <u>It's still not even reaching the IPSec gateway's eth0 interface</u>
    -- given tcpdump.  Never reaches its own interface, much less the
    LAN gateway's interfaces to be forwarded on to the phone.<br>
    <br>
-------------------------------------------------------------------------------------------------------<br>
    No port 4500 packet hitting its own interface.  Only a keep-alive.<br>
    <br>
    So of course the phone times out and tears down the circuit.<br>
    <br>
    Attached hereto:  charon.log and iptables-save.  SELinux is
    Permissive.<br>
    <br>
    I even tried this with # shorewall clear in the IPSec gateway. 
    (stops the firewall and opens everything wide)  No change.<br>
    <br>
-------------------------------------------------------------------------------------------------------<u><br>
      <br>
      strongswan.conf:</u><br>
    charon {<br>
            load_modular = yes<br>
            plugins {<br>
                    include strongswan.d/charon/*.conf<br>
            }<br>
    }<br>
    include strongswan.d/*.conf<br>
    <br>
    <u>charon.conf</u><br>
    charon {<br>
    <br>
    <br>
    # two defined file loggers<br>
        filelog {<br>
            /var/log/charon.log {<br>
                time_format = %a, %Y-%m-%d %R<br>
                ike_name = yes<br>
                append = no<br>
                default = 2<br>
                flush_line = yes<br>
            }<br>
            stderr {<br>
                    mgr = 0<br>
                    net = 1<br>
                    enc = 1<br>
                    asn = 1<br>
                    job = 1<br>
                    knl = 1<br>
            }<br>
        }<br>
    <br>
    <br>
    <u>swanctl.conf:</u><br>
    connections {<br>
    <br>
            ikev2-pubkey {<br>
                    version = 2<br>
                    rekey_time = 0s<br>
                    pools = primary-pool-ipv4 #, primary-pool-ipv6<br>
                    fragmentation = yes<br>
                    dpd_delay = 30s<br>
                    local-1 {<br>
                            id = quantum-equities.com<br>
                    }<br>
            remote-1 {<br>
                    # defaults are fine.<br>
            }<br>
            children {<br>
                    ikev2-pubkey {<br>
    local_ts = %any<br>
    remote_ts = %any<br>
                    rekey_time = 0s<br>
                    dpd_action = clear<br>
                    }<br>
            }<br>
            }<br>
    }<br>
    <br>
    <br>
    # swanctl -L<br>
    ikev2-pubkey: IKEv2, no reauthentication, no rekeying<br>
      local:  %any<br>
      remote: %any<br>
      local unspecified authentication:<br>
        id: quantum-equities.com<br>
      remote unspecified authentication:<br>
      ikev2-pubkey: TUNNEL, no rekeying<br>
        local:  0.0.0.0/32<br>
        remote: 0.0.0.0/32<br>
    # swanctl -l<br>
    <br>
    <br>
    # ip route show table all<br>
    default via 192.168.1.1 dev eth0 <br>
    169.254.0.0/16 dev eth0 scope link metric 1002 <br>
    192.168.111.0/24 dev eth0 proto kernel scope link src 192.168.1.16 <br>
    broadcast 127.0.0.0 dev lo table local proto kernel scope link src
    127.0.0.1 <br>
    local 127.0.0.0/8 dev lo table local proto kernel scope host src
    127.0.0.1 <br>
    local 127.0.0.1 dev lo table local proto kernel scope host src
    127.0.0.1 <br>
    broadcast 127.255.255.255 dev lo table local proto kernel scope link
    src 127.0.0.1 <br>
    broadcast 192.168.1.0 dev eth0 table local proto kernel scope link
    src 192.168.1.16 <br>
    local 192.168.1.16 dev eth0 table local proto kernel scope host src
    192.168.1.16 <br>
    broadcast 192.168.1.255 dev eth0 table local proto kernel scope link
    src 192.168.1.16 <br>
    unreachable ::/96 dev lo metric 1024 error -113 <br>
    unreachable ::ffff:0.0.0.0/96 dev lo metric 1024 error -113 <br>
    unreachable 2002:a00::/24 dev lo metric 1024 error -113 <br>
    unreachable 2002:7f00::/24 dev lo metric 1024 error -113 <br>
    unreachable 2002:a9fe::/32 dev lo metric 1024 error -113 <br>
    unreachable 2002:ac10::/28 dev lo metric 1024 error -113 <br>
    unreachable 2002:c0a8::/32 dev lo metric 1024 error -113 <br>
    unreachable 2002:e000::/19 dev lo metric 1024 error -113 <br>
    unreachable 3ffe:ffff::/32 dev lo metric 1024 error -113 <br>
    fe80::/64 dev eth0 proto kernel metric 256 <br>
    fe80::/64 dev ipsec0 proto kernel metric 256 <br>
    local ::1 dev lo table local proto kernel metric 0 <br>
    local fe80::2ad0:4f3a:fd2c:5f8c dev lo table local proto kernel
    metric 0 <br>
    local fe80::5054:ff:fec0:9330 dev lo table local proto kernel metric
    0 <br>
    ff00::/8 dev eth0 table local metric 256 <br>
    ff00::/8 dev ipsec0 table local metric 256<br>
    <br>
    <br>
    # ip address<br>
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state
    UNKNOWN qlen 1000<br>
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<br>
        inet 127.0.0.1/8 scope host lo<br>
           valid_lft forever preferred_lft forever<br>
        inet6 ::1/128 scope host <br>
           valid_lft forever preferred_lft forever<br>
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
    pfifo_fast state UP qlen 1000<br>
        link/ether 52:54:00:c0:93:30 brd ff:ff:ff:ff:ff:ff<br>
        inet 192.168.1.16/24 brd 192.168.1.255 scope global eth0<br>
           valid_lft forever preferred_lft forever<br>
        inet6 fe80::5054:ff:fec0:9330/64 scope link <br>
           valid_lft forever preferred_lft forever<br>
    56: ipsec0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1400
    qdisc pfifo_fast state UNKNOWN qlen 500<br>
        link/none <br>
        inet6 fe80::2ad0:4f3a:fd2c:5f8c/64 scope link flags 800 <br>
           valid_lft forever preferred_lft forever<br>
    <br>
  </body>
</html>