<html><head><meta http-equiv="Content-Type" content="text/html; charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class=""><div class=""><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;">The problem with Windows (10 at least) is that it offers the weakest ciphers first, so you should remove sha1 and 3des.</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br class=""></div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;">The minimum proposals you should have and which are compatible with Windows 10, OSX, IOS and Linux are the following.</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br class=""></div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><b class="">proposals = aes256-sha256-prfsha256-modp2048-modp1024</b></div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br class=""></div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;">Although I would recommend adding the Windows 10 registry key [<span style="font-family: monospace, monospace;" class="">NegotiateDH2048_AES256</span>] to use strong ciphers and then you can remove MODP1024</div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br class=""></div><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br class=""></div><a href="http://www.naimuri.com" class="">
</a></div><div><br class=""><blockquote type="cite" class=""><div class="">On 7 May 2018, at 15:50, Jafar Al-Gharaibeh <<a href="mailto:jafar@atcorp.com" class="">jafar@atcorp.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class="">
  
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" class="">
  
  <div text="#000000" bgcolor="#FFFFFF" class="">
    Houman,<br class="">
    <br class="">
      The Windows client proposals do not match your configured
    proposals. Your Windows client expect DG group 15 (MODP2048), where
    as you have:<br class="">
    <br class="">
    <font face="monospace, monospace" class="">aes256-3des-sha1-modp1024<br class="">
      <br class="">
      change that to:<br class="">
      <br class="">
    </font><font face="monospace, monospace" class=""><font face="monospace,
        monospace" class="">aes256-3des-sha1-modp2048</font><br class="">
    </font><br class="">
    I'd also add sha256 at least before sha1 (deemed insecure). If you
    still have other clients expecting modp1024, make it:<br class="">
    <br class="">
    <font face="monospace, monospace" class="">aes256-3des-sha256-sha1-modp2048-modp1024<br class="">
      <br class="">
      That should get you covered. <br class="">
      <br class="">
      Regards,<br class="">
      Jafar<br class="">
      <br class="">
    </font><br class="">
    <div class="moz-cite-prefix">On 5/7/2018 8:17 AM, Houman wrote:<br class="">
    </div>
    <blockquote type="cite" cite="mid:CABBZOsm1XbtdgRy-2G6xbE_kzFhKNsGG37TLtEtRO-XbP+b1ig@mail.gmail.com" class="">
      <div dir="ltr" class="">Hello,
        <div class=""><br class="">
        </div>
        <div class="">Until a week ago a user with Windows 10 had no issue
          connecting to the StrongSwan server. But now out of the blue,
          he can't connect to the StrongSwan server anymore.</div>
        <div class=""><br class="">
        </div>
        <div class="">The log on the server is:</div>
        <div class=""><br class="">
        </div>
        <font face="monospace, monospace" class="">May  7 12:31:06 vpn-p1 charon:
          08[IKE] received proposals inacceptable<br class="">
          May  7 12:31:06 vpn-p1 charon: 08[ENC] generating IKE_SA_INIT
          response 0 [ N(NO_PROP) ]<br class="">
          May  7 12:31:06 vpn-p1 charon: 08[NET] sending packet: from
          xxx.x.xx.92[500] to 91.98.xxx.xxx[500] (36 bytes)<br class="">
          May  7 12:32:09 vpn-p1 systemd[1]: Started Session 35 of user
          root.<br class="">
          May  7 12:46:21 vpn-p1 systemd[1]: Starting Cleanup of
          Temporary Directories...<br class="">
          May  7 12:46:21 vpn-p1 systemd-tmpfiles[7016]:
          [/usr/lib/tmpfiles.d/var.conf:14] Duplicate line for path
          "/var/log", ignoring.<br class="">
          May  7 12:46:21 vpn-p1 systemd[1]: Started Cleanup of
          Temporary Directories.<br class="">
          May  7 13:00:13 vpn-p1 systemd[1]: Starting Certbot...<br class="">
          May  7 13:00:13 vpn-p1 systemd[1]: Started Certbot.<br class="">
          May  7 13:08:20 vpn-p1 systemd[1]: Started Session 36 of user
          root.<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[NET] received packet: from
          91.98.xxx.xxx[500] to xxx.x.xx.92[500] (624 bytes)<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[ENC] parsed IKE_SA_INIT
          request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[IKE] received MS NT5
          ISAKMPOAKLEY v9 vendor ID<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[IKE] received MS-Negotiation
          Discovery Capable vendor ID<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[IKE] received
          Vid-Initial-Contact vendor ID<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[ENC] received unknown vendor
          ID:
          01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[IKE] 91.98.xxx.xxx is
          initiating an IKE_SA<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[CFG] received proposals:
          IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
          IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048,
          IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[CFG] configured proposals:
          IKE:AES_GCM_16_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_521,
          IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384,
          IKE:AES_CBC_256/3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[IKE] remote host is behind
          NAT<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[IKE] received proposals
          inacceptable<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[ENC] generating IKE_SA_INIT
          response 0 [ N(NO_PROP) ]<br class="">
          May  7 13:11:27 vpn-p1 charon: 12[NET] sending packet: from
          xxx.x.xx.92[500] to 91.98.xxx.xxx[500] (36 bytes)<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[NET] received packet: from
          91.98.xxx.xxx[500] to xxx.x.xx.92[500] (624 bytes)<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[ENC] parsed IKE_SA_INIT
          request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) V V V V ]<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[IKE] received MS NT5
          ISAKMPOAKLEY v9 vendor ID<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[IKE] received MS-Negotiation
          Discovery Capable vendor ID<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[IKE] received
          Vid-Initial-Contact vendor ID<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[ENC] received unknown vendor
          ID:
          01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:02<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[IKE] 91.98.xxx.xxx is
          initiating an IKE_SA<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[CFG] received proposals:
          IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,
          IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048,
          IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_2048<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[CFG] configured proposals:
          IKE:AES_GCM_16_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_521,
          IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384,
          IKE:AES_CBC_256/3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[IKE] remote host is behind
          NAT<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[IKE] received proposals
          inacceptable<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[ENC] generating IKE_SA_INIT
          response 0 [ N(NO_PROP) ]<br class="">
          May  7 13:11:28 vpn-p1 charon: 16[NET] sending packet: from
          xxx.x.xx.92[500] to 91.98.xxx.xxx[500] (36 bytes)</font>
        <div class=""><br class="">
        </div>
        <div class="">The Server's ipsec.conf is:</div>
        <div class=""><br class="">
        </div>
        <div class="">
          <div class=""><font face="monospace, monospace" class="">config setup</font></div>
          <div class=""><font face="monospace, monospace" class="">  strictcrlpolicy=yes</font></div>
          <div class=""><font face="monospace, monospace" class="">  uniqueids=never</font></div>
          <div class=""><font face="monospace, monospace" class="">conn roadwarrior</font></div>
          <div class=""><font face="monospace, monospace" class="">  auto=add</font></div>
          <div class=""><font face="monospace, monospace" class="">  compress=no</font></div>
          <div class=""><font face="monospace, monospace" class="">  type=tunnel</font></div>
          <div class=""><font face="monospace, monospace" class="">  keyexchange=ikev2</font></div>
          <div class=""><font face="monospace, monospace" class="">  fragmentation=yes</font></div>
          <div class=""><font face="monospace, monospace" class="">  forceencaps=yes</font></div>
          <div class=""><font face="monospace, monospace" class=""> 
ike=aes256gcm16-sha256-ecp521,aes256-sha256-ecp384,aes256-3des-sha1-modp1024!</font></div>
          <div class=""><font face="monospace, monospace" class=""> 
              esp=aes256gcm16-sha256,aes256-3des-sha256-sha1!</font></div>
          <div class=""><font face="monospace, monospace" class="">  dpdaction=clear</font></div>
          <div class=""><font face="monospace, monospace" class="">  dpddelay=180s</font></div>
          <div class=""><font face="monospace, monospace" class="">  rekey=no</font></div>
          <div class=""><font face="monospace, monospace" class="">  left=%any</font></div>
          <div class=""><font face="monospace, monospace" class="">  leftid=@${VPNHOST}</font></div>
          <div class=""><font face="monospace, monospace" class="">  leftcert=cert.pem</font></div>
          <div class=""><font face="monospace, monospace" class="">  leftsendcert=always</font></div>
          <div class=""><font face="monospace, monospace" class="">  leftsubnet=<a href="http://0.0.0.0/0" moz-do-not-send="true" class="">0.0.0.0/0</a></font></div>
          <div class=""><font face="monospace, monospace" class="">  right=%any</font></div>
          <div class=""><font face="monospace, monospace" class="">  rightid=%any</font></div>
          <div class=""><font face="monospace, monospace" class="">  rightauth=eap-radius</font></div>
          <div class=""><font face="monospace, monospace" class="">  eap_identity=%any</font></div>
          <div class=""><font face="monospace, monospace" class=""> 
              rightdns=208.67.222.222,208.67.220.220</font></div>
          <div class=""><font face="monospace, monospace" class=""> 
              rightsourceip=${VPNIPPOOL}</font></div>
          <div class=""><font face="monospace, monospace" class="">  rightsendcert=never</font></div>
        </div>
        <div class=""><br class="">
        </div>
        <div class="">Have the supported ike/esp proposals somehow been changed
          recently after a recent Windows 10 update?</div>
        <div class=""><br class="">
        </div>
        <div class="">I have made these changes on the Windows 10, after
          googling for a solution:</div>
        <div class=""><br class="">
        </div>
        <div class=""><font face="monospace, monospace" class="">- The firewall on Windows
            10 is currently disabled.  </font></div>
        <font face="monospace, monospace" class="">- I have set
          NegotiateDH2048_AES256 = 1 in Regedit<br class="">
          - AssumeUDPEncapsulationContextOnSendRule = 2 in Regedit</font>
        <div class=""><br class="">
        </div>
        <div class="">I can't think of anything else I could do on the Windows 10
          client.<br class="">
          <div class=""><br class="">
          </div>
          <div class="">According to my notes, these are the proposed protocols
            for Windows 10:</div>
          <div class=""><br class="">
          </div>
          <div class="">
            <div class=""><font face="monospace, monospace" class=""># these ike and esp
                settings are tested on Mac 10.12, iOS 10 and Windows 10</font></div>
            <div class=""><font face="monospace, monospace" class=""># iOS/Mac with
                appropriate configuration profiles use
                AES_GCM_16_256/PRF_HMAC_SHA2_256/ECP_521</font></div>
            <div class=""><font face="monospace, monospace" class=""># Windows 10 uses
                AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384</font></div>
          </div>
          <div class=""><br class="">
          </div>
          <div class="">Is there a website that translates
            AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_384 into
            the right naming for ipsec.conf so that I enter them under
            ike and esp respectively? I can't quite make out if I have
            these settings there or not.</div>
          <div class=""><br class="">
          </div>
          <div class="">If you have any other advice, please help me.</div>
          <div class=""><br class="">
          </div>
          <div class="">Many Thanks,</div>
          <div class=""><br class="">
          </div>
          <div class=""><br class="">
          </div>
          <div class=""><br class="">
          </div>
          <div class=""><br class="">
          </div>
        </div>
      </div>
    </blockquote>
    <br class="">
  </div>

</div></blockquote></div><br class=""></body></html>