<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<span>I have successfully established an ipsec IKEv2 tunnel<br>
</span>
<div>with a fortigate 1200D/FortiOS v5.2.4<br>
</div>
<div><br>
</div>
<div>It is the first device where I'm able to get multiple<br>
</div>
<div>pair of selectors per CHILD_SA.<br>
</div>
<div><br>
</div>
<div>The tricky thing to pay attention, is the comma separated<br>
</div>
<div>list sequence, in the remote_ts parameter.<br>
</div>
<div>For example, this sequence was rejected by the remote<br>
</div>
<div>peer:<br>
</div>
<div><br>
</div>
<div>remote_ts = 192.168.32.0/24,10.20.29.75/32<br>
</div>
<div><br>
</div>
<div>with the following error message:<br>
</div>
<div><br>
</div>
<div>[IKE] received TS_UNACCEPTABLE notify, no CHILD_SA built<br>
</div>
<div>[IKE] failed to establish CHILD_SA, keeping IKE_SA<br>
</div>
<div><br>
</div>
<div>instead the following one was working:<br>
</div>
<div><br>
</div>
<div>remote_ts = 10.20.29.75/32,192.168.32.0/24<br>
<br>
Is this the expected behavior by RFC?<br>
</div>
<span></span><br>
</div>
</body>
</html>