<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial"><div>hello all:</div><div>    My ipsec tunnel can't established by a traffic.</div><div>    I configured a ikev2 , net-to-net, psk, i can use "ipsec up" command to establish tunnel, but it can't established by a coming traffic, of course, the ttraffic can match the rule.</div><div><br></div><div>the network:</div><div>--------------------------</div><div>    pc------------------------------------client-----------------------server-----------------------------pc2</div><div>    192.168.4.2            192.168.4.1   10.0.0.1     10.0.0.2       192.168.10.1       192.168.10.2</div><div><br></div><div>[client:ipsec.conf]</div><div>---------------------------</div><div># ipsec.conf - strongSwan IPsec configuration file</div><div><div><br></div><div># basic configuration</div><div><br></div><div>config setup</div><div><span style="white-space:pre">   </span># strictcrlpolicy=yes</div><div><span style="white-space:pre"> </span># uniqueids = no</div><div><br></div><div># Add connections here.</div><div><br></div><div>conn %default</div><div>     reauth=yes</div><div>     ikelifetime=60m</div><div>     keylife=20m</div><div>     rekeymargin=5m</div><div>     keyingtries=1</div><div>     dpdaction=clear</div><div>     dpddelay=10s</div><div>     #dpdtimeout=20s</div><div>     keyexchange=ikev2</div><div>     authby=psk</div><div>     type=tunnel</div><div>     installpolicy=yes</div><div><br></div><div>conn nat-t</div><div>     left=10.0.0.1</div><div>     leftsubnet=192.168.4.0/24</div><div>     leftfirewall=yes</div><div>     right=10.0.0.2</div><div>     rightsubnet=192.168.10.0/24</div><div>     auto=route</div></div><div><br></div><div><div>[server:ipsec.conf]</div></div><div>---------------------------</div><div># ipsec.conf - strongSwan IPsec configuration file</div><div><div><br></div><div># basic configuration</div><div><br></div><div>config setup</div><div><span style="white-space:pre">    </span># strictcrlpolicy=yes</div><div><span style="white-space:pre"> </span># uniqueids = no</div><div><br></div><div># Add connections here.</div><div><br></div><div>conn %default</div><div>     reauth=yes</div><div>     ikelifetime=60m</div><div>     keylife=20m</div><div>     rekeymargin=5m</div><div>     keyingtries=1</div><div>     keyexchange=ikev2</div><div>     authby=psk</div><div>     dpdaction=clear</div><div>     dpddelay=10s</div><div>     type=tunnel</div><div><br></div><div>conn nat-t</div><div>     left=10.0.0.2</div><div>     leftsubnet=192.168.10.0/24</div><div>     leftfirewall=yes</div><div>     right=%any</div><div>     rightsubnet=192.168.4.0/24</div><div>     auto=route</div></div><div><div><br></div><div><br></div><div>[client and server :strongswan.conf]</div><div>-----------------------</div><div># /etc/strongswan.conf - strongSwan configuration file</div><div><br></div><div>charon {</div><div>    # two defined file loggers</div><div>    filelog {</div><div>        /var/log/charon.log {</div><div>            time_format = %b %e %T</div><div>            ike_name = yes</div><div>            append = no</div><div>            default = 2</div><div>            flush_line = yes</div><div>        }</div><div>        stderr {</div><div>            # more detailed loglevel for a specific subsystem, overriding the</div><div>            # default loglevel.</div><div>            ike = 2</div><div>            knl = 3</div><div>            chd = 2</div><div>            esp = 2</div><div>            job = 2</div><div>            lib = 2</div><div>            mgr = 2</div><div>            net = 2</div><div>        }</div><div>    }</div><div>    # and two loggers using syslog</div><div>    syslog {</div><div>        identifier = charon-custom</div><div>        daemon {</div><div>        }</div><div>        auth {</div><div>            default = -1</div><div>            ike = 0</div><div>        }</div><div>    }</div><div>        load_modular = yes</div><div>        duplicheck.enable = no</div><div>        compress = yes</div><div>        port = 0</div><div>        port_nat_t = 0</div><div>        install_routes = yes</div><div>        plugins {</div><div>                include strongswan.d/charon/*.conf</div><div>        }</div><div>        dns1 = 114.114.114.114</div><div>        nbns1 = 114.114.114.114</div><div>}</div><div>include strongswan.d/*.conf</div></div><div><br></div><div><br></div><div><br></div><div>command:</div><div>--------------------</div><div>ipsec start</div><div><br></div><div>ipsec statusall</div><div>-------------------</div><div><div>[root@epcaas-client ~]# ipsec statusall</div><div>Status of IKE charon daemon (strongSwan 5.6.2, Linux 3.10.0-693.11.1.el7.x86_64, x86_64):</div><div>  uptime: 57 seconds, since May 25 11:46:38 2018</div><div>  malloc: sbrk 1351680, mmap 0, used 281552, free 1070128</div><div>  worker threads: 7 of 16 idle, 5/0/4/0 working, job queue: 0/0/0/0, scheduled: 0</div><div>  loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf curve25519 xcbc cmac hmac attr kernel-libipsec kernel-netlink resolve socket-default stroke vici updown xauth-generic radattr counters</div><div>Listening IP addresses:</div><div>  10.0.0.1</div><div>  192.168.4.1</div><div>Connections:</div><div>       nat-t:  10.0.0.1...10.0.0.2  IKEv2, dpddelay=10s</div><div>       nat-t:   local:  [10.0.0.1] uses pre-shared key authentication</div><div>       nat-t:   remote: [10.0.0.2] uses pre-shared key authentication</div><div>       nat-t:   child:  192.168.4.0/24 === 192.168.10.0/24 TUNNEL, dpdaction=clear</div><div>Routed Connections:</div><div>       nat-t{1}:  ROUTED, TUNNEL, reqid 1</div><div>       nat-t{1}:   192.168.4.0/24 === 192.168.10.0/24</div><div>Security Associations (0 up, 0 connecting):</div><div>  none</div></div><div>at pc command</div><div>------------------------------------</div><div>ping 192.168.10.2 from 192.168.4.2:</div><div><br></div><div>[client:/var/log/charon.log]</div><div>-----------------------</div><div><div>May 25 11:46:38 00[DMN] Starting IKE charon daemon (strongSwan 5.6.2, Linux 3.10.0-693.11.1.el7.x86_64, x86_64)</div><div>May 25 11:46:38 00[LIB] plugin 'aes': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'des': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'rc2': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'sha2': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'sha1': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'md5': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'random': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'nonce': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'x509': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'revocation': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'constraints': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pubkey': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pkcs1': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pkcs7': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pkcs8': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pkcs12': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pgp': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'dnskey': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'sshkey': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'pem': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'fips-prf': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'curve25519': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'xcbc': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'cmac': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'hmac': loaded successfully</div><div>May 25 11:46:38 00[CFG] loaded legacy entry attribute INTERNAL_IP4_DNS: 72:72:72:72</div><div>May 25 11:46:38 00[CFG] loaded legacy entry attribute INTERNAL_IP4_NBNS: 72:72:72:72</div><div>May 25 11:46:38 00[LIB] plugin 'attr': loaded successfully</div><div>May 25 11:46:38 00[LIB] created TUN device: ipsec0</div><div>May 25 11:46:38 00[LIB] plugin 'kernel-libipsec': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'kernel-pfkey': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'kernel-netlink': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'resolve': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'socket-default': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'stroke': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'vici': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'updown': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'xauth-generic': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'radattr': loaded successfully</div><div>May 25 11:46:38 00[LIB] plugin 'counters': loaded successfully</div><div>May 25 11:46:38 00[LIB] feature CUSTOM:kernel-ipsec in plugin 'kernel-pfkey' failed to load</div><div>May 25 11:46:38 00[LIB] feature CUSTOM:kernel-ipsec in plugin 'kernel-netlink' failed to load</div><div>May 25 11:46:38 00[KNL] known interfaces and IP addresses:</div><div>May 25 11:46:38 00[KNL]   lo</div><div>May 25 11:46:38 00[KNL]     127.0.0.1</div><div>May 25 11:46:38 00[KNL]     ::1</div><div>May 25 11:46:38 00[KNL]   eth0</div><div>May 25 11:46:38 00[KNL]     10.0.0.1</div><div>May 25 11:46:38 00[KNL]     fe80::f816:3eff:fe32:c093</div><div>May 25 11:46:38 00[KNL]   eth1</div><div>May 25 11:46:38 00[KNL]     192.168.4.1</div><div>May 25 11:46:38 00[KNL]     fe80::f816:3eff:fed6:573a</div><div>May 25 11:46:38 00[KNL]   eth2</div><div>May 25 11:46:38 00[KNL]     192.168.6.61</div><div>May 25 11:46:38 00[KNL]     fe80::f816:3eff:fe77:5cc6</div><div>May 25 11:46:38 00[KNL]   ipsec0</div><div>May 25 11:46:38 00[KNL]     fe80::dda:9afd:25a6:e916</div><div>May 25 11:46:38 00[LIB] feature PUBKEY:ECDSA in plugin 'pem' has unmet dependency: PUBKEY:ECDSA</div><div>May 25 11:46:38 00[LIB] feature PUBKEY:BLISS in plugin 'pem' has unmet dependency: PUBKEY:BLISS</div><div>May 25 11:46:38 00[LIB] feature PUBKEY:DSA in plugin 'pem' has unmet dependency: PUBKEY:DSA</div><div>May 25 11:46:38 00[LIB] feature PRIVKEY:DSA in plugin 'pem' has unmet dependency: PRIVKEY:DSA</div><div>May 25 11:46:38 00[LIB] feature PRIVKEY:BLISS in plugin 'pem' has unmet dependency: PRIVKEY:BLISS</div><div>May 25 11:46:38 00[LIB] feature CERT_DECODE:OCSP_REQUEST in plugin 'pem' has unmet dependency: CERT_DECODE:OCSP_REQUEST</div><div>May 25 11:46:38 00[LIB] feature PRF:PRF_CAMELLIA128_XCBC in plugin 'xcbc' has unmet dependency: CRYPTER:CAMELLIA_CBC-16</div><div>May 25 11:46:38 00[LIB] feature SIGNER:CAMELLIA_XCBC_96 in plugin 'xcbc' has unmet dependency: CRYPTER:CAMELLIA_CBC-16</div><div>May 25 11:46:38 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'</div><div>May 25 11:46:38 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'</div><div>May 25 11:46:38 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'</div><div>May 25 11:46:38 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'</div><div>May 25 11:46:38 00[CFG] loading crls from '/etc/ipsec.d/crls'</div><div>May 25 11:46:38 00[CFG] loading secrets from '/etc/ipsec.secrets'</div><div>May 25 11:46:38 00[CFG]   loaded IKE secret for 10.0.0.1</div><div>May 25 11:46:38 00[CFG] expanding file expression '/etc/ipsec.*.secrets' failed</div><div>May 25 11:46:38 00[LIB] unloading plugin 'kernel-pfkey' without loaded features</div><div>May 25 11:46:38 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf curve25519 xcbc cmac hmac attr kernel-libipsec kernel-netlink resolve socket-default stroke vici updown xauth-generic radattr counters</div><div>May 25 11:46:38 00[LIB] unable to load 10 plugin features (8 due to unmet dependencies)</div><div>May 25 11:46:38 00[JOB] spawning 16 worker threads</div><div>May 25 11:46:38 01[LIB] created thread 01 [2687]</div><div>May 25 11:46:38 01[JOB] started worker thread 01</div><div>May 25 11:46:38 01[JOB] no events, waiting</div><div>May 25 11:46:38 02[LIB] created thread 02 [2689]</div><div>May 25 11:46:38 02[JOB] started worker thread 02</div><div>May 25 11:46:38 02[NET] waiting for data on sockets</div><div>May 25 11:46:38 03[LIB] created thread 03 [2690]</div><div>May 25 11:46:38 03[JOB] started worker thread 03</div><div>May 25 11:46:38 04[LIB] created thread 04 [2688]</div><div>May 25 11:46:38 04[JOB] started worker thread 04</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:38 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:38 04[JOB] watched FD 16 ready to read</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:46:38 05[LIB] created thread 05 [2684]</div><div>May 25 11:46:38 05[JOB] started worker thread 05</div><div>May 25 11:46:38 06[LIB] created thread 06 [2680]</div><div>May 25 11:46:38 06[JOB] started worker thread 06</div><div>May 25 11:46:38 07[LIB] created thread 07 [2676]</div><div>May 25 11:46:38 07[JOB] started worker thread 07</div><div>May 25 11:46:38 08[LIB] created thread 08 [2677]</div><div>May 25 11:46:38 08[JOB] started worker thread 08</div><div>May 25 11:46:38 09[LIB] created thread 09 [2678]</div><div>May 25 11:46:38 09[JOB] started worker thread 09</div><div>May 25 11:46:38 10[LIB] created thread 10 [2681]</div><div>May 25 11:46:38 10[JOB] started worker thread 10</div><div>May 25 11:46:38 11[LIB] created thread 11 [2682]</div><div>May 25 11:46:38 11[JOB] started worker thread 11</div><div>May 25 11:46:38 12[LIB] created thread 12 [2683]</div><div>May 25 11:46:38 12[JOB] started worker thread 12</div><div>May 25 11:46:38 13[LIB] created thread 13 [2686]</div><div>May 25 11:46:38 13[JOB] started worker thread 13</div><div>May 25 11:46:38 14[LIB] created thread 14 [2691]</div><div>May 25 11:46:38 14[JOB] started worker thread 14</div><div>May 25 11:46:38 15[LIB] created thread 15 [2679]</div><div>May 25 11:46:38 15[JOB] started worker thread 15</div><div>May 25 11:46:38 16[LIB] created thread 16 [2685]</div><div>May 25 11:46:38 16[JOB] started worker thread 16</div><div>May 25 11:46:38 07[ESP] no matching outbound IPsec policy for fe80::dda:9afd:25a6:e916 == ff02::2 [58]</div><div>May 25 11:46:38 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:38 04[JOB] watched FD 16 ready to read</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:46:38 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:38 04[JOB] watched FD 19 ready to read</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:46:38 10[CFG] received stroke: add connection 'nat-t'</div><div>May 25 11:46:38 10[CFG] conn nat-t</div><div>May 25 11:46:38 10[CFG]   left=10.0.0.1</div><div>May 25 11:46:38 10[CFG]   leftsubnet=192.168.4.0/24</div><div>May 25 11:46:38 10[CFG]   leftauth=psk</div><div>May 25 11:46:38 10[CFG]   leftupdown=ipsec _updown iptables</div><div>May 25 11:46:38 10[CFG]   right=10.0.0.2</div><div>May 25 11:46:38 10[CFG]   rightsubnet=192.168.10.0/24</div><div>May 25 11:46:38 10[CFG]   rightauth=psk</div><div>May 25 11:46:38 10[CFG]   dpddelay=10</div><div>May 25 11:46:38 10[CFG]   dpdtimeout=150</div><div>May 25 11:46:38 10[CFG]   dpdaction=1</div><div>May 25 11:46:38 10[CFG]   sha256_96=no</div><div>May 25 11:46:38 10[CFG]   mediation=no</div><div>May 25 11:46:38 10[CFG]   keyexchange=ikev2</div><div>May 25 11:46:38 10[KNL] 10.0.0.2 is not a local address or the interface is down</div><div>May 25 11:46:38 10[CFG] added configuration 'nat-t'</div><div>May 25 11:46:38 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:38 04[JOB] watched FD 19 ready to read</div><div>May 25 11:46:38 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:46:38 12[CFG] received stroke: route 'nat-t'</div><div>May 25 11:46:38 12[CFG] proposing traffic selectors for us:</div><div>May 25 11:46:38 12[CFG]  192.168.4.0/24</div><div>May 25 11:46:38 12[CFG] proposing traffic selectors for other:</div><div>May 25 11:46:38 12[CFG]  192.168.10.0/24</div><div>May 25 11:46:38 12[CFG] configured proposals: ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/NO_EXT_SEQ</div><div>May 25 11:46:38 12[ESP] adding policy 192.168.10.0/24 === 192.168.4.0/24 in</div><div>May 25 11:46:39 12[ESP] adding policy 192.168.4.0/24 === 192.168.10.0/24 out</div><div>May 25 11:46:39 12[KNL] getting a local address in traffic selector 192.168.4.0/24</div><div>May 25 11:46:39 12[KNL] using host 192.168.4.1</div><div>May 25 11:46:39 12[KNL] installing route: 192.168.10.0/24 src 192.168.4.1 dev ipsec0</div><div>May 25 11:46:39 12[KNL] getting iface index for ipsec0</div><div>May 25 11:46:39 12[CHD] CHILD_SA nat-t{1} state change: CREATED => ROUTED</div><div>May 25 11:46:39 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:39 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:39 04[JOB] watched FD 16 ready to read</div><div>May 25 11:46:39 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:46:39 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:39 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:46:42 07[ESP] no matching outbound IPsec policy for fe80::dda:9afd:25a6:e916 == ff02::2 [58]</div><div>May 25 11:46:46 07[ESP] no matching outbound IPsec policy for fe80::dda:9afd:25a6:e916 == ff02::2 [58]</div><div>May 25 11:46:50 04[JOB] watched FD 19 ready to read</div><div>May 25 11:46:50 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:46:50 15[CFG] proposing traffic selectors for us:</div><div>May 25 11:46:50 15[CFG]  192.168.4.0/24</div><div>May 25 11:46:50 15[CFG] proposing traffic selectors for other:</div><div>May 25 11:46:50 15[CFG]  192.168.10.0/24</div><div>May 25 11:46:50 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:46:50 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:47:35 04[JOB] watched FD 19 ready to read</div><div>May 25 11:47:35 04[JOB] watcher going to poll() 3 fds</div><div>May 25 11:47:35 09[CFG] proposing traffic selectors for us:</div><div>May 25 11:47:35 09[CFG]  192.168.4.0/24</div><div>May 25 11:47:35 09[CFG] proposing traffic selectors for other:</div><div>May 25 11:47:35 09[CFG]  192.168.10.0/24</div><div>May 25 11:47:35 04[JOB] watcher got notification, rebuilding</div><div>May 25 11:47:35 04[JOB] watcher going to poll() 4 fds</div><div>May 25 11:53:10 07[ESP] could not find an outbound IPsec SA for reqid {1}, dropping packet</div><div>May 25 11:53:15 07[ESP] could not find an outbound IPsec SA for reqid {1}, dropping packet</div><div>May 25 11:53:20 07[ESP] could not find an outbound IPsec SA for reqid {1}, dropping packet</div><div>May 25 11:53:25 07[ESP] could not find an outbound IPsec SA for reqid {1}, dropping packet</div><div><br></div></div><div>the log show me "could not find an outbound IPsec SA for reqid {1}, dropping packet", but not "creating acquire job".</div><div>thanks.</div><div><br></div><div><br></div></div><br><br><span title="neteasefooter"><p> </p></span>