<div dir="ltr"><div>Hi, <br></div><div>  I am setting up route based VPN, the service starts up and VPN tunnel is created</div><div><br></div><div><span style="color:rgb(34,34,34);font-family:arial,sans-serif;font-size:small;font-style:normal;font-variant-ligatures:normal;font-variant-caps:normal;font-weight:400;letter-spacing:normal;text-align:start;text-indent:0px;text-transform:none;white-space:normal;word-spacing:0px;background-color:rgb(255,255,255);text-decoration-style:initial;text-decoration-color:initial;float:none;display:inline">I have add=route and it should have setup the trap and automatically up'd the tunnel, (i am running a ping) not sure why it didn't do</span><br></div><div><br></div><div><div><i>initiating Main Mode IKE_SA Tunnel1[1] to xxxx</i></div><div><i>generating ID_PROT request 0 [ SA V V V V V ]</i></div><div><i>sending packet: from yyyy[500] to xxxx[500] (240 bytes)</i></div><div><i>received packet: from xxxx[500] to yyyy[500] (120 bytes)</i></div><div><i>parsed ID_PROT response 0 [ SA V V ]</i></div><div><i>received NAT-T (RFC 3947) vendor ID</i></div><div><i>received FRAGMENTATION vendor ID</i></div><div><i>generating ID_PROT request 0 [ KE No NAT-D NAT-D ]</i></div><div><i>sending packet: from yyyy[500] to xxxx[500] (308 bytes)</i></div><div><i>received packet: from xxxx[500] to yyyy[500] (368 bytes)</i></div><div><i>parsed ID_PROT response 0 [ KE No V V V V NAT-D NAT-D ]</i></div><div><i>received Cisco Unity vendor ID</i></div><div><i>received XAuth vendor ID</i></div><div><i>received unknown vendor ID: ec:1a:31:1f:a7:a0:7c:e7:04:8f:96:31:e0:51:78:f2</i></div><div><i>received unknown vendor ID: 1f:07:f7:0e:aa:65:14:d3:b0:fa:96:54:2a:50:01:00</i></div><div><i>generating ID_PROT request 0 [ ID HASH ]</i></div><div><i>sending packet: from yyyy[500] to xxxx[500] (76 bytes)</i></div><div><i>received packet: from xxxx[500] to yyyy[500] (92 bytes)</i></div><div><i>parsed ID_PROT response 0 [ ID HASH V ]</i></div><div><i>received DPD vendor ID</i></div><div><i>IKE_SA Tunnel1[1] established between yyyy[yyyy]...xxxx[xxxx]</i></div><div><i>generating QUICK_MODE request 2763822149 [ HASH SA No KE ID ID ]</i></div><div><i>sending packet: from yyyy[500] to xxxx[500] (380 bytes)</i></div><div><i>received packet: from xxxx[500] to yyyy[500] (92 bytes)</i></div><div><i>parsed INFORMATIONAL_V1 request 1304498435 [ HASH N((24576)) ]</i></div><div><i>received (24576) notify</i></div><div><i>received packet: from xxxx[500] to yyyy[500] (396 bytes)</i></div><div><i>parsed QUICK_MODE response 2763822149 [ HASH SA No KE ID ID N((24576)) ]</i></div><div><i>received 28800s lifetime, configured 0s</i></div><div><i>CHILD_SA Tunnel1{2} established with SPIs c9d21ed5_i a0429fc7_o and TS <a href="http://10.131.0.0/24">10.131.0.0/24</a> === <a href="http://10.49.0.0/16">10.49.0.0/16</a></i></div><div><i>connection 'Tunnel1' established successfully</i></div></div><div><br></div><div><br></div><div>Tunnel1 is in <b>REKEYING </b>state forever. Can someone help in understanding why this is happening ?</div><div><br></div><div><i><b># swanctl --list-sas</b><br></i></div><div><div><i>Tunnel1: #2, ESTABLISHED, IKEv1, 9303a91759fd0ade:f595d3cea90f3978</i></div><div><i>  local  'yyyy' @ yyyy</i></div><div><i>  remote 'xxxx' @ xxxx</i></div><div><i>  AES_CBC-256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536</i></div><div><i>  established 2262s ago</i></div><div><i>  Tunnel1: #2, reqid 1, INSTALLED, TUNNEL, ESP:AES_CBC-256/HMAC_SHA1_96/MODP_1536</i></div><div><i>    installed 2262s ago</i></div><div><i>    in  cc71fb62,      0 bytes,     0 packets</i></div><div><i>    out 7b6dd570, 185556 bytes,  2209 packets</i></div><div><i>    local  <a href="http://10.131.0.0/24">10.131.0.0/24</a></i></div><div><i>    remote <a href="http://10.49.0.0/16">10.49.0.0/16</a></i></div><div><i>Tunnel1: #1, <b>REKEYING</b>, IKEv1, cb22de82b36ddf5a:882d6338ccc0a906</i></div><div><i>  local  'yyyy' @ yyyy</i></div><div><i>  remote 'xxxx' @ xxxx</i></div><div><i>  AES_CBC-256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536</i></div></div><div><br></div><div><br></div><div><br></div><div><div><i><b># strongswan  statusall</b></i></div><div><i>Status of IKE charon daemon (strongSwan 5.3.2, Linux <b>4.9.82</b>-...., x86_64):</i></div><div><i>  uptime: 3 minutes, since Mar 23 11:46:46 2018</i></div><div><i>  malloc: sbrk 405504, mmap 0, used 354208, free 51296</i></div><div><i>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0</i></div><div><i>  loaded plugins: charon aes des rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs8 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac ctr ccm curl attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-gtc eap-mschapv2 eap-tls eap-ttls eap-peap xauth-generic xauth-eap xauth-pam xauth-noauth dhcp</i></div><div><i>Listening IP addresses:</i></div><div><i>....</i></div><div><i>Connections:</i></div><div><i>     Tunnel1:  yyyy...xxxx  IKEv1</i></div><div><i>     Tunnel1:   local:  [yyyy] uses pre-shared key authentication</i></div><div><i>     Tunnel1:   remote: [xxxx] uses pre-shared key authentication</i></div><div><i>     Tunnel1:   child:  <a href="http://10.131.0.0/24">10.131.0.0/24</a> === <a href="http://10.49.0.0/16">10.49.0.0/16</a> TUNNEL</i></div><div><i>Routed Connections:</i></div><div><i>     Tunnel1{1}:  ROUTED, TUNNEL, reqid 1</i></div><div><i>     Tunnel1{1}:   <a href="http://10.131.0.0/24">10.131.0.0/24</a> === <a href="http://10.49.0.0/16">10.49.0.0/16</a></i></div><div><i>Security Associations (0 up, 0 connecting):</i></div><div><i>  none</i></div></div><div><br></div><div><br></div><div>Here is my configs</div><div><br></div><div><i><br></i></div><div><div><i>config setup</i></div><div><i>  uniqueids=no</i></div><div><i><br></i></div><div><i>conn Tunnel1</i></div><div><i>  fragmentation=yes</i></div><div><i>  ikelifetime=60m</i></div><div><i>  keyingtries=%forever</i></div><div><i>  keyexchange=ikev1</i></div><div><i>  authby=secret</i></div><div><i>  leftauth=psk</i></div><div><i>  rightauth=psk</i></div><div><i>  aggressive=no</i></div><div><i>  dpddelay=60</i></div><div><i>  dpdtimeout=300</i></div><div><i>  esp=aes256-sha1-modp1536</i></div><div><i>  lifetime=3600</i></div><div><i>  ike=aes256-sha1-modp1536</i></div><div><i>  ikelifetime=86400</i></div><div><i>  auto=route</i></div><div><i>  left=yyyy</i></div><div><i>  right=xxxx</i></div><div><i>  leftsubnet=<a href="http://10.131.0.0/24">10.131.0.0/24</a>            </i></div><div><i>  rightsubnet=<a href="http://10.49.0.0/16">10.49.0.0/16</a></i></div><div><i>  mark=100</i></div><div><i>  leftupdown="/etc/init.d/updown.sh -ln Tunnel1 -ll <a href="http://169.254.4.1/30">169.254.4.1/30</a> -lr <a href="http://169.254.4.2/30">169.254.4.2/30</a> -m 100 -r <a href="http://10.49.0.0/16">10.49.0.0/16</a>"</i></div></div><div><i><br></i></div><div><div><i># ip tunnel show Tunnel1</i></div><div><i>Tunnel1: ip/ip  remote xxxx  local yyyy  ttl inherit  nopmtudisc key 100</i></div></div><div><br></div><div><b>iptables</b></div><div><div><i>-A INPUT -s xxxx/32 -d yyyy/32 -p esp -j MARK --set-xmark 0x64/0xffffffff</i></div><div><i>-A INPUT -s xxxx/32 -d yyyy/32 -p esp -j MARK --set-xmark 0x64/0xffffffff</i></div><div><i>-A FORWARD -o Tunnel1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu</i></div><div><i>-A FORWARD -o Tunnel1 -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu</i></div></div><div><br></div><div><b>route</b></div><div><div><i><a href="http://10.49.0.0/16">10.49.0.0/16</a> dev Tunnel1  scope link  metric 100</i></div></div><div><br></div><div>I tried with rekey=no and reauth=no . I think the otherside is cisco asa router. </div><div><br></div><div>any ideas why could be causing the  <b>rekeying</b> state forever. This is phase2 IPSec SA rekeying right ? I was thinking that add=route sets up trap and creates the SAs and up the tunnel. <i>ip xfrm policy</i> shows policies created.</div><div><br></div><div>Thanks  in advance</div><div><br></div></div>