<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi Team,<div><br></div><div>I had configured Strongswan on both side as initiator and as responder with below mentioned configuration:</div><div><br></div><div><br></div><div>Initiator config:</div><div><br></div><div><div>conn %default</div><div>        ikelifetime = 28800s</div><div>        type = tunnel</div><div>        lifetime = 3600s</div><div>        dpddelay = 30</div><div>        dpdaction = restart </div><div>        reauth = no</div><div>        mobike = no #disable mobike - no use case</div><div><br></div><div>conn 10.109.229.252_2.1.1.0/24-10.109.229.250_1.1.2.0/24<br></div><div>        left=10.109.229.252</div><div>        leftid=10.109.229.252</div><div>        rightid=10.109.229.250</div><div>        leftsubnet=<a href="http://2.1.1.0/24">2.1.1.0/24</a><br></div><div>        right=10.109.229.250</div><div>        rightsubnet=<a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div>        authby=secret</div><div>        keyexchange = ikev2</div><div>        auto = start<br></div><div>        fragmentation = yes</div><div>        esp=aes256-sha256-modp2048!<br></div><div>        ike=aes256-sha256-modp2048</div></div><div><div>conn 10.109.229.252_2.1.2.0/24-10.109.229.250_1.1.2.0/24</div><div>        left=10.109.229.252</div><div>        leftid=10.109.229.252</div><div>        rightid=10.109.229.250</div><div>        leftsubnet=<a href="http://2.1.2.0/24">2.1.2.0/24</a><br></div><div>        right=10.109.229.250</div><div>        rightsubnet=<a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div>        authby=secret</div><div>        keyexchange = ikev2</div><div>        auto = start<br></div><div>        fragmentation = yes</div><div>        esp=aes256-sha256-modp2048!<br></div><div>        ike=aes256-sha256-modp2048</div></div><div><br></div><div><br></div><div>Responder Configuration:</div><div><br></div><div><div>conn %default</div><div>        ikelifetime = 28800s</div><div>        type = tunnel</div><div>        lifetime = 3600s</div><div>        dpddelay = 30</div><div>        dpdaction = restart</div><div>        reauth = no<br></div><div>        mobike = no #disable mobike - no use case</div></div><div><div>conn 10.109.229.250_1.1.2.0/24-10.109.229.252_2.1.1.0/24</div><div>        left=10.109.229.250</div><div>        leftid=10.109.229.250</div><div>        rightid=10.109.229.252</div><div>        leftsubnet=<a href="http://1.1.2.0/24">1.1.2.0/24</a><br></div><div>        right=10.109.229.252</div><div>        rightsubnet=<a href="http://2.1.1.0/24">2.1.1.0/24</a></div><div>        authby=secret</div><div>        keyexchange = ikev2</div><div>        auto = add<br></div><div>        fragmentation = yes</div><div>        esp=aes256-sha1-modp2048<br></div><div>        ike=aes256-sha1-modp2048!</div><div>conn 10.109.229.250_1.1.2.0/24-10.109.229.252_2.1.2.0/24<br></div><div>        left=10.109.229.250</div><div>        leftid=10.109.229.250</div><div>        rightid=10.109.229.252</div><div>        leftsubnet=<a href="http://1.1.2.0/24">1.1.2.0/24</a><br></div><div>        right=10.109.229.252</div><div>        rightsubnet=<a href="http://2.1.2.0/24">2.1.2.0/24</a></div><div>        authby=secret</div><div>        keyexchange = ikev2</div><div>        auto = add<br></div><div>        fragmentation = yes</div><div>        esp=aes256-sha1-modp2048<br></div><div>        ike=aes256-sha1-modp2048!</div></div><div><br></div><div><br></div><div>So when I started initiation for the tunnels.</div><div><br></div><div>Only one IPsec SA came up whereas other IPsec SA was rejected with reason as 'No Proposal Found' even though proposal configured was present there</div><div><br></div><div>I have attached small snippet of the log below for the case.</div><div><br></div><div>For the IPsec SA created with IKE_AUTH:</div><div><br></div><div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> looking for a child config for <a href="http://1.1.2.0/24">1.1.2.0/24</a> === <a href="http://2.1.1.0/24">2.1.1.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for us:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for other:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://2.1.2.0/24">2.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for us:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for other:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://2.1.1.0/24">2.1.1.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   candidate "10.109.229.250_1.1.2.0/24-10.109.229.252_2.1.1.0/24" with prio 5+5</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> found matching child config "10.109.229.250_1.1.2.0/24-10.109.229.252_2.1.1.0/24" with prio 10</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selecting proposal:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   no acceptable INTEGRITY_ALGORITHM found</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selecting proposal:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   proposal matches</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> got SPI c671babe</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selecting traffic selectors for us:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  config: <a href="http://1.1.2.0/24">1.1.2.0/24</a>, received: <a href="http://1.1.2.0/24">1.1.2.0/24</a> => match: <a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selecting traffic selectors for other:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  config: <a href="http://2.1.1.0/24">2.1.1.0/24</a>, received: <a href="http://2.1.1.0/24">2.1.1.0/24</a> => match: <a href="http://2.1.1.0/24">2.1.1.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   using AES_CBC for encryption</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   using HMAC_SHA2_256_128 for integrity</div></div><div><br></div><div><br></div><div>And for the separate  CHILD_SA:</div><div><br></div><div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> looking for a child config for <a href="http://1.1.2.0/24">1.1.2.0/24</a> === <a href="http://2.1.2.0/24">2.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for us:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for other:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://2.1.2.0/24">2.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   candidate "10.109.229.250_1.1.2.0/24-10.109.229.252_2.1.2.0/24" with prio 5+5</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for us:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://1.1.2.0/24">1.1.2.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> proposing traffic selectors for other:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>  <a href="http://2.1.1.0/24">2.1.1.0/24</a></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> found matching child config "10.109.229.250_1.1.2.0/24-10.109.229.252_2.1.2.0/24" with prio 10</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selecting proposal:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   no acceptable INTEGRITY_ALGORITHM found</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> selecting proposal:</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32>   no acceptable DIFFIE_HELLMAN_GROUP found</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> received proposals: ESP:AES_CBC_256/HMAC_SHA2_256_128/MODP_2048/NO_EXT_SEQ</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ, ESP:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/BLOWFISH_CBC_256/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/HMAC_SHA1_96/AES_XCBC_96/HMAC_MD5_96/NO_EXT_SEQ</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> no acceptable proposal found</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> Setting alert and state in for child_cfg</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> added payload of type NOTIFY to message</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> failed to establish CHILD_SA, keeping IKE_SA</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> Received an alert which is not handled.</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32></div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> order payloads in message</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> added payload of type NOTIFY to message</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> generating CREATE_CHILD_SA response 2 [ N(NO_PROP) ]</div><div><10.109.229.250_1.1.1.0/24-10.109.229.252_2.1.1.0/24|32> insert payload NOTIFY into encrypted payload</div></div><div> </div><div>So my query is, in CHILD_SA, even DH group received and configured are matching still it says no acceptable DH group and rejects the connection with 'No Prop'</div><div>Why is it saying no acceptable DH group when it is same ?</div><div><br></div><div>Thanks for the reply.<br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Best Regards,<div><br></div><div>Yogesh Purohit</div></div></div></div></div></div></div></div></div></div></div>