<div dir="ltr"><div>Hello,</div><div><br></div><div>I am running strongswan 5.5.1 on ubuntu 17.10 on the server and trying to connect a Mac OS-X HighSierra using both PSK and XAUTH.  I am getting the following error:</div><div><br></div><div>Mar 24 09:40:08 alpha charon: 11[ENC] generating INFORMATIONAL_V1 request 1358223450 [ HASH N(AUTH_FAILED) ]</div><div><br></div><div>Detailed Log File Excerpt</div><div>----------------------------------</div><div>Mar 24 09:41:06 alpha charon: 07[NET] received packet: from 192.168.5.69[500] to 192.168.5.11[500] (788 bytes)</div><div>Mar 24 09:41:06 alpha charon: 07[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V ]</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received NAT-T (RFC 3947) vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received FRAGMENTATION vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] received DPD vendor ID</div><div>Mar 24 09:41:06 alpha charon: 07[IKE] 192.168.5.69 is initiating a Main Mode IKE_SA</div><div>Mar 24 09:41:06 alpha charon: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]</div><div>Mar 24 09:41:06 alpha charon: 07[NET] sending packet: from 192.168.5.11[500] to 192.168.5.69[500] (160 bytes)</div><div>Mar 24 09:41:06 alpha charon: 08[NET] received packet: from 192.168.5.69[500] to 192.168.5.11[500] (228 bytes)</div><div>Mar 24 09:41:06 alpha charon: 08[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]</div><div>Mar 24 09:41:06 alpha charon: 08[IKE] remote host is behind NAT</div><div>Mar 24 09:41:06 alpha charon: 08[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]</div><div>Mar 24 09:41:06 alpha charon: 08[NET] sending packet: from 192.168.5.11[500] to 192.168.5.69[500] (244 bytes)</div><div>Mar 24 09:41:06 alpha charon: 09[NET] received packet: from 192.168.5.69[4500] to 192.168.5.11[4500] (108 bytes)</div><div>Mar 24 09:41:06 alpha charon: 09[ENC] parsed ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]</div><div>Mar 24 09:41:06 alpha charon: 09[CFG] looking for pre-shared key peer configs matching 192.168.5.11...192.168.5.69[192.168.1.8]</div><div>Mar 24 09:41:06 alpha charon: 09[IKE] found 1 matching config, but none allows pre-shared key authentication using Main Mode</div><div>Mar 24 09:41:06 alpha charon: 09[ENC] generating INFORMATIONAL_V1 request 3652931050 [ HASH N(AUTH_FAILED) ]</div><div>Mar 24 09:41:06 alpha charon: 09[NET] sending packet: from 192.168.5.11[4500] to 192.168.5.69[4500] (92 bytes)</div><div><br></div><div><br></div><div>Log Excerpt when it starts</div><div>-----------------------------------</div><div><br></div><div>Mar 24 09:42:29 alpha systemd[1]: Stopping strongSwan IPsec services...</div><div>Mar 24 09:42:29 alpha ipsec[29567]: Stopping strongSwan IPsec...</div><div>Mar 24 09:42:29 alpha charon: 00[DMN] signal of type SIGINT received. Shutting down</div><div>Mar 24 09:42:29 alpha systemd[1]: Stopped strongSwan IPsec services.</div><div>Mar 24 09:42:29 alpha systemd[1]: Starting strongSwan IPsec services...</div><div>Mar 24 09:42:29 alpha ipsec[29580]: Starting strongSwan 5.5.1 IPsec [starter]...</div><div>Mar 24 09:42:29 alpha systemd[1]: Started strongSwan IPsec services.</div><div>Mar 24 09:42:29 alpha charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.5.1, Linux 4.13.0-25-generic, x86_64)</div><div>Mar 24 09:42:29 alpha charon: 00[CFG] disabling load-tester plugin, not configured</div><div>Mar 24 09:42:29 alpha charon: 00[LIB] plugin 'load-tester': failed to load - load_tester_plugin_create returned NULL</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] dnscert plugin is disabled</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] ipseckey plugin is disabled</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] attr-sql plugin: database URI not set</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG]   loaded ca certificate "C=US, O=StrongSSWAN, CN=StrongSSWAN Root CA" from '/etc/ipsec.d/cacerts/SSWAN_CA_self_signed_cert.crt'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'</div><div>Mar 24 09:42:30 alpha charon: 00[CFG]   loaded IKE secret for %any</div><div>Mar 24 09:42:30 alpha charon: 00[CFG]   loaded EAP secret for jdoe</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] sql plugin: database URI not set</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] read 0 triplets from /etc/ipsec.d/triplets.dat</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] eap-simaka-sql database URI missing</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] loaded 0 RADIUS server configurations</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] no threshold configured for systime-fix, disabled</div><div>Mar 24 09:42:30 alpha charon: 00[CFG] coupling file path unspecified</div><div>Mar 24 09:42:30 alpha charon: 00[LIB] loaded plugins: charon test-vectors unbound ldap pkcs11 aes rc2 sha2 sha1 md4 md5 mgf1 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem openssl gcrypt af-alg fips-prf gmp agent chapoly xcbc cmac hmac ctr ccm gcm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default connmark farp stroke updown eap-identity eap-sim eap-sim-file eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity</div><div>Mar 24 09:42:30 alpha charon: 00[LIB] dropped capabilities, running as uid 0, gid 0</div><div>Mar 24 09:42:30 alpha charon: 00[JOB] spawning 16 worker threads</div><div>Mar 24 09:42:30 alpha charon: 05[CFG] received stroke: add connection 'L2TP'</div><div>Mar 24 09:42:30 alpha charon: 05[CFG]   loaded certificate "CN=Acme.com, C=US, O=Acme Technologies Inc, OU=Network Technologies" from '/etc/ipsec.d/certs/alpha_SSWAN_vpnHost_signed_cert.crt'</div><div>Mar 24 09:42:30 alpha charon: 05[CFG]   id 'CN=<a href="http://access.acme.com">access.acme.com</a>, C=US, O=Acme Technologies Inc' not confirmed by certificate, defaulting to 'CN=<a href="http://acme.com">acme.com</a>, C=US, O=Acme Technologies Inc, OU=Network Technologies'</div><div>Mar 24 09:42:30 alpha charon: 05[CFG] added configuration 'L2TP'</div><div><br></div><div><br></div><div>ipsec.conf</div><div>--------------</div><div><br></div><div>config setup</div><div>    cachecrls=yes</div><div>    uniqueids=yes</div><div>    charondebug=""</div><div><br></div><div>conn %default</div><div>    keyingtries=%forever</div><div>    dpddelay=30s</div><div>    dpdtimeout=120s</div><div>    authby=secret</div><div><br></div><div><br></div><div>conn L2TP</div><div>    aggressive=yes</div><div>    dpdaction=clear</div><div>    #Server IP</div><div>    left=192.168.5.11</div><div>    #Server default gateway</div><div>    # leftnexthop=192.168.5.254</div><div>    leftprotoport=17/1701</div><div>    rightprotoport=17/%any</div><div>    right=%any</div><div>    rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftauth=psk</div><div>    leftauth2=xauth</div><div>    rightauth=psk</div><div>    # leftid="<insert-the-public-ip-here>"</div><div><br></div><div>    leftid="CN=<a href="http://access.acme.com">access.acme.com</a>, C=US, O="Acme Technologies Inc""</div><div>    leftcert=/etc/ipsec.d/certs/alpha_SSWAN_vpnHost_signed_cert.crt</div><div><br></div><div><br></div><div>    ikelifetime=1h</div><div>    keylife=8h</div><div>    ike=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024</div><div>    esp=aes128-sha1-modp1536,aes128-sha1-modp1024,aes128-md5-modp1536,aes128-md5-modp1024,3des-sha1-modp1536,3des-sha1-modp1024,3des-md5-modp1536,3des-md5-modp1024</div><div>    auto=add</div><div>    keyexchange=ike</div><div>    type=transport</div><div><br></div><div>conn block</div><div>    auto=ignore</div><div>conn private</div><div>    auto=ignore</div><div>conn private-or-clear</div><div>    auto=ignore</div><div>conn clear-or-private</div><div>    auto=ignore</div><div>conn clear</div><div>    auto=ignore</div><div>conn packetdefault</div><div><br></div><div>    auto=ignore</div><div><br></div><div><br></div><div>ipsec.secrets</div><div>------------------</div><div># This file holds shared secrets or RSA private keys for authentication.</div><div># RSA private key for this host, authenticating it to any other host</div><div># which knows the public part.</div><div>: PSK "goaway"</div><div>jdoe : XAUTH  "fatal123"</div><div><br></div><div><br></div><div>Error on the MAC</div><div>---------------------------------</div><div>The only error shown on screen is:</div><div><br></div><div>  "The L2TP-VPN Server did not respond. Try reconnecting. If the problem continues, verify</div><div>  settings and contact your Administrator."</div><div><br></div><div>  </div><div>Log entry in /var/log/system.log:</div><div>---------------------------------</div><div>  </div><div>    Mar 24 10:01:39 falcon racoon[1051]: plogsetfile: about to add racoon log file: /var/log/racoon.log</div><div><br></div><div>  And /var/log/racoon.log is empty</div><div>  </div><div><br></div><div>I appreciate the help.  Thank you</div></div>