<div dir="ltr">Hello,<div><br></div><div>Until a week ago a user with Windows 10 had no issue connecting to the StrongSwan server. But now out of the blue, he can't connect to the StrongSwan server anymore.</div><div><br></div><div>The log on the server is:</div><div><br></div><font face="monospace, monospace">May  7 12:31:06 vpn-p1 charon: 08[IKE] received proposals inacceptable<br>May  7 12:31:06 vpn-p1 charon: 08[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]<br>May  7 12:31:06 vpn-p1 charon: 08[NET] sending packet: from xxx.x.xx.92[500] to 91.98.xxx.xxx[500] (36 bytes)<br>May  7 12:32:09 vpn-p1 systemd[1]: Started Session 35 of user root.<br>May  7 12:46:21 vpn-p1 systemd[1]: Starting Cleanup of Temporary Directories...<br>May  7 12:46:21 vpn-p1 systemd-tmpfiles[7016]: [/usr/lib/tmpfiles.d/var.conf:14] Duplicate line for path "/var/log", ignoring.<br>May  7 12:46:21 vpn-p1 systemd[1]: Started Cleanup of Temporary Directories.<br>May  7 13:00:13 vpn-p1 systemd[1]: Starting Certbot...<br>May  7 13:00:13 vpn-p1 systemd[1]: Started Certbot.<br>May  7 13:08:20 vpn-p1 systemd[1]: Started Session 36 of user root.<br>May  7 13:11:27 vpn-p1 charon: 12[NET] received packet: from 91.98.xxx.xxx[500] to xxx.x.xx.92[500] (624 bytes)<br>May  7 13:11:27 vpn-p1 charon: 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]<br>May  7 13:11:27 vpn-p1 charon: 12[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID<br>May  7 13:11:27 vpn-p1 charon: 12[IKE] received MS-Negotiation Discovery Capable vendor ID<br>May  7 13:11:27 vpn-p1 charon: 12[IKE] received Vid-Initial-Contact vendor ID<br>May  7 13:11:27 vpn-p1 charon: 12[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02<br>May  7 13:11:27 vpn-p1 charon: 12[IKE] 91.98.xxx.xxx is initiating an IKE_SA<br>May  7 13:11:27 vpn-p1 charon: 12[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048<br>May  7 13:11:27 vpn-p1 charon: 12[CFG] configured proposals: IKE:AES_GCM_16_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_521, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC_256/3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>May  7 13:11:27 vpn-p1 charon: 12[IKE] remote host is behind NAT<br>May  7 13:11:27 vpn-p1 charon: 12[IKE] received proposals inacceptable<br>May  7 13:11:27 vpn-p1 charon: 12[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]<br>May  7 13:11:27 vpn-p1 charon: 12[NET] sending packet: from xxx.x.xx.92[500] to 91.98.xxx.xxx[500] (36 bytes)<br>May  7 13:11:28 vpn-p1 charon: 16[NET] received packet: from 91.98.xxx.xxx[500] to xxx.x.xx.92[500] (624 bytes)<br>May  7 13:11:28 vpn-p1 charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]<br>May  7 13:11:28 vpn-p1 charon: 16[IKE] received MS NT5 ISAKMPOAKLEY v9 vendor ID<br>May  7 13:11:28 vpn-p1 charon: 16[IKE] received MS-Negotiation Discovery Capable vendor ID<br>May  7 13:11:28 vpn-p1 charon: 16[IKE] received Vid-Initial-Contact vendor ID<br>May  7 13:11:28 vpn-p1 charon: 16[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02<br>May  7 13:11:28 vpn-p1 charon: 16[IKE] 91.98.xxx.xxx is initiating an IKE_SA<br>May  7 13:11:28 vpn-p1 charon: 16[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048, IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048<br>May  7 13:11:28 vpn-p1 charon: 16[CFG] configured proposals: IKE:AES_GCM_16_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_521, IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384, IKE:AES_CBC_256/3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>May  7 13:11:28 vpn-p1 charon: 16[IKE] remote host is behind NAT<br>May  7 13:11:28 vpn-p1 charon: 16[IKE] received proposals inacceptable<br>May  7 13:11:28 vpn-p1 charon: 16[ENC] generating IKE_SA_INIT response 0 [ N(NO_PROP) ]<br>May  7 13:11:28 vpn-p1 charon: 16[NET] sending packet: from xxx.x.xx.92[500] to 91.98.xxx.xxx[500] (36 bytes)</font><div><br></div><div>The Server's ipsec.conf is:</div><div><br></div><div><div><font face="monospace, monospace">config setup</font></div><div><font face="monospace, monospace">  strictcrlpolicy=yes</font></div><div><font face="monospace, monospace">  uniqueids=never</font></div><div><font face="monospace, monospace">conn roadwarrior</font></div><div><font face="monospace, monospace">  auto=add</font></div><div><font face="monospace, monospace">  compress=no</font></div><div><font face="monospace, monospace">  type=tunnel</font></div><div><font face="monospace, monospace">  keyexchange=ikev2</font></div><div><font face="monospace, monospace">  fragmentation=yes</font></div><div><font face="monospace, monospace">  forceencaps=yes</font></div><div><font face="monospace, monospace">  ike=aes256gcm16-sha256-ecp521,aes256-sha256-ecp384,aes256-3des-sha1-modp1024!</font></div><div><font face="monospace, monospace">  esp=aes256gcm16-sha256,aes256-3des-sha256-sha1!</font></div><div><font face="monospace, monospace">  dpdaction=clear</font></div><div><font face="monospace, monospace">  dpddelay=180s</font></div><div><font face="monospace, monospace">  rekey=no</font></div><div><font face="monospace, monospace">  left=%any</font></div><div><font face="monospace, monospace">  leftid=@${VPNHOST}</font></div><div><font face="monospace, monospace">  leftcert=cert.pem</font></div><div><font face="monospace, monospace">  leftsendcert=always</font></div><div><font face="monospace, monospace">  leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></font></div><div><font face="monospace, monospace">  right=%any</font></div><div><font face="monospace, monospace">  rightid=%any</font></div><div><font face="monospace, monospace">  rightauth=eap-radius</font></div><div><font face="monospace, monospace">  eap_identity=%any</font></div><div><font face="monospace, monospace">  rightdns=208.67.222.222,208.67.220.220</font></div><div><font face="monospace, monospace">  rightsourceip=${VPNIPPOOL}</font></div><div><font face="monospace, monospace">  rightsendcert=never</font></div></div><div><br></div><div>Have the supported ike/esp proposals somehow been changed recently after a recent Windows 10 update?</div><div><br></div><div>I have made these changes on the Windows 10, after googling for a solution:</div><div><br></div><div><font face="monospace, monospace">- The firewall on Windows 10 is currently disabled.  </font></div><font face="monospace, monospace">- I have set NegotiateDH2048_AES256 = 1 in Regedit<br>- AssumeUDPEncapsulationContextOnSendRule = 2 in Regedit</font><div><br></div><div>I can't think of anything else I could do on the Windows 10 client.<br><div><br></div><div>According to my notes, these are the proposed protocols for Windows 10:</div><div><br></div><div><div><font face="monospace, monospace"># these ike and esp settings are tested on Mac 10.12, iOS 10 and Windows 10</font></div><div><font face="monospace, monospace"># iOS/Mac with appropriate configuration profiles use AES_GCM_16_256/PRF_HMAC_SHA2_256/ECP_521</font></div><div><font face="monospace, monospace"># Windows 10 uses AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384</font></div></div><div><br></div><div>Is there a website that translates AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384 into the right naming for ipsec.conf so that I enter them under ike and esp respectively? I can't quite make out if I have these settings there or not.</div><div><br></div><div>If you have any other advice, please help me.</div><div><br></div><div>Many Thanks,</div><div><br></div><div><br></div><div><br></div><div><br></div></div></div>