<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body bgcolor="#FFFFFF" text="#000066">

    <p>True.  Although I infer that 'pools' might be address pools (as

      with DHCP), I can find no evidence of this.  And I now notice the

      'pools' definition further down.</p>

    <p>But I'd like this VPN to be 'transparent'.  IOW I'd like my

      remote machines and LAN members to use the same IP as they do in

      the LAN.  If possible I'd like to avoid virtual IPs.  Is there any

      way to do this?</p>

    <p>And I gather that in the IPSec gateway for the LAN, I can define

      different definitions for different remote machines, but I can't

      work out how this would be structured with swanctl.  I'd actually

      prefer to keep the same definition for all remote initiators, but

      things may not always work out like we want.<br>

    </p>

    <p>Side question:  I'm also in the process of transitioning the LAN

      to IPV6.  As my ISP will not foreseeably have IPV6 (Frontier

      Comm)  I'll need to use a tunnel broker.  Will this be a problem

      with Strongswan, and can the Android app do IPV6?<br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 03/28/2018 02:35 PM, Andreas Steffen

      wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:c9146372-4423-f936-8afb-0353f2c13fb7@strongswan.org">

      <pre wrap="">The connection setup gets now very far but finally fails because

the pools defined by

 pools = primary-pool-ipv4, primary-pool-ipv6

don't seem be defined (have you added a pools section in swanctl.conf?)

and therefore no virtual IP can be allocated to the initiator

Wed, 2018-03-28 08:31 15[IKE] <ikev2-pubkey|1>

  peer requested virtual IP %any

  no virtual IP found for %any requested by 'C=US, O=Quantum

CN=aries.darkmatter.org'

  peer requested virtual IP %any6

  no virtual IP found for %any6 requested by 'C=US, O=Quantum

CN=aries.darkmatter.org'

  no virtual IP found, sending INTERNAL_ADDRESS_FAILURE

Regards

Andreas

On 28.03.2018 17:37, Info wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">I have no way of interpreting the syntax of these proposals as there's

no definitive description.  Maybe '-' separates different options in a

category and ',' separates categories?  But it also doesn't explain

"classic and combined-mode algos" nor not to mix them.  I can't know

these things by instinct.

Something else is wrong with the example.  I copied it -exactly- (except

I used your esp_proposals), and the error log is attached.

On 03/28/2018 02:21 AM, Andreas Steffen wrote:

</pre>

        <blockquote type="cite">

          <pre wrap="">Hi,

as your log explicitly says:

</pre>

          <blockquote type="cite">

            <pre wrap="">Tue, 2018-03-27 15:13 15[CFG] classic and combined-mode (AEAD)

encryption algorithms can't be contained in the same IKE proposal

</pre>

          </blockquote>

          <pre wrap="">Thus instead of

esp_proposals =

</pre>

          <blockquote type="cite">

            <pre wrap="">aes192gcm16-aes128gcm16-aes192-ecp256,aes192-sha256-modp3072,default

</pre>

          </blockquote>

          <pre wrap="">you must define

esp_proposals =

  aes192gcm16-aes128gcm16-ecp256,aes192-sha256-ecp256-modp3072,default

Regards

Andreas

</pre>

        </blockquote>

        <pre wrap="">

</pre>

      </blockquote>

      <pre wrap="">

</pre>

    </blockquote>

    <br>

  </body>

</html>