<div>Hi,<br></div><div>I have working IPsec tunnel between OpenSWAN on CentOS7 and third party partner company in Azure. The plan is to migrate OpenSWAN to StrongSWAN (Ubuntu) and retire CentOS box. Unfortunately configuration doesn't work and can't find the problem.<br></div><div>My working config on OpenSWAN:<br></div><div> <br></div><div><span class="font" style="font-family:monospace"><span class="highlight" style="background-color:rgb(255, 255, 255)"><span class="colour" style="color:rgb(0, 0, 0)">config setup </span></span><br>    nat_traversal=yes <br>    virtual_private=%v4:10.1.0.0/16,%v4:10.2.0.0/16 <br>    protostack=netkey <br>    interfaces="ipsec0=eth0" <br>    oe=off <br> <br>conn azure <br>    authby=secret <br>    auto=start <br>    type=tunnel <br>    left=%defaultroute <br>    leftsubnets=10.1.0.0/16,10.2.0.0/16 <br>    leftnexthop=%defaultroute <br>    right=PUB_IP_REMOTE<br>    rightsubnet=10.5.0.0/24 <br>    phase2alg=aes256-sha1;modp1024 <br>    ike=aes256-sha1;modp1024 <br>    ikelifetime=8h <br>    keylife=1h <br>    pfs=no <br>    dpdaction=restart_by_peer <br>    dpdtimeout=10 <br>    dpddelay=10</span></div><div><br></div><div><span class="font" style="font-family:monospace">On my StrongSWAN I have:</span><br></div><div><br></div><div><span class="font" style="font-family:monospace"><span class="highlight" style="background-color:rgb(255, 255, 255)"><span class="colour" style="color:rgb(0, 0, 0)">conn azure1 </span></span><br>        authby=secret <br>        type=tunnel <br>        leftsendcert=never <br>        left=PUB_IP_LOCAL<br>        leftsubnet=10.1.0.0/16 <br>        right=PUB_IP_REMOTE<br>        rightsubnet=10.5.0.0/24<br>        ike=aes256-sha1 <br>        ikelifetime=8h <br>        keylife=1h <br>        keyingtries=1 <br>        rekeymargin=3m <br>         compress=no <br>        auto=start <br> <br>conn azure2 <br>        authby=secret <br>        type=tunnel <br>        leftsendcert=never <br>        left=PUB_IP_LOCAL<br>        leftsubnet=10.2.0.0/16 <br>        right=PUB_IP_REMOTE <br>        rightsubnet=10.5.0.0/24 <br>        ike=aes256-sha1 <br>        ikelifetime=8h <br>        keylife=1h <br>        keyingtries=1 <br>        rekeymargin=3m <br>         compress=no <br>        auto=start</span></div><div><br></div><div><span class="font" style="font-family:monospace">The log output says that it is connected and then dropped because ike is not established:</span><br></div><div><br></div><div>Dec  2 15:34:11 systemd[1]: Starting strongSwan IPsec services...<br></div><div>Dec  2 15:34:11 ipsec[20651]: Starting strongFSwan 5.3.5 IPsec [starter]...<br></div><div>Dec  2 15:34:11 systemd[1]: Started strongSwan IPsec services.<br></div><div>Dec  2 15:34:11 charon-custom: 00[DMN] opening file charon for logging failed: Permission denied<br></div><div>Dec  2 15:34:11 charon-custom: 00[DMN] Starting IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-138-generic, x86_64)<br></div><div>Dec  2 15:34:11 kernel: [3962500.785155] audit: type=1400 audit(1543764851.950:28): apparmor="DENIED" operation="mknod" profile="/usr/lib/ipsec/charon" name="/charon" pid=20668 comm="charon" requested_mask="c" denied_mask="c" fsuid=0 ouid=0<br></div><div>Dec  2 15:34:12 kernel: [3962501.191338] NET: Registered protocol family 38<br></div><div>Dec  2 15:34:12 kernel: [3962501.315701] AVX or AES-NI instructions are not detected.<br></div><div>Dec  2 15:34:12 kernel: [3962501.342215] AVX or AES-NI instructions are not detected.<br></div><div>Dec  2 15:34:12 kernel: [3962501.468445] CPU feature 'AVX registers' is not supported.<br></div><div>Dec  2 15:34:12 kernel: [3962501.577645] CPU feature 'AVX registers' is not supported.<br></div><div>Dec  2 15:34:12 kernel: [3962501.602133] CPU feature 'AVX registers' is not supported.<br></div><div>Dec  2 15:34:12 kernel: [3962501.664258] CPU feature 'AVX registers' is not supported.<br></div><div>Dec  2 15:34:12 charon-custom: 00[CFG] disabling load-tester plugin, not configured<br></div><div>Dec  2 15:34:12 charon-custom: 00[LIB] plugin 'load-tester': failed to load - load_tester_plugin_create returned NULL<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] dnscert plugin is disabled<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] ipseckey plugin is disabled<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] attr-sql plugin: database URI not set<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loading crls from '/etc/ipsec.d/crls'<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loading secrets from '/etc/ipsec.secrets'<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG]   loaded IKE secret for PUB_IP_REMOTE<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] sql plugin: database URI not set<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] opening triplet file /etc/ipsec.d/triplets.dat failed: No such file or directory<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] eap-simaka-sql database URI missing<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] loaded 0 RADIUS server configurations<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] no threshold configured for systime-fix, disabled<br></div><div>Dec  2 15:34:13 charon-custom: 00[CFG] coupling file path unspecified<br></div><div>Dec  2 15:34:13 charon-custom: 00[LIB] loaded plugins: charon test-vectors unbound ldap pkcs11 aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints acert pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey dnscert ipseckey pem openssl gcrypt af-alg fips-prf gmp agent chapoly xcbc cmac hmac ctr ccm gcm ntru bliss curl soup mysql sqlite attr kernel-netlink resolve socket-default connmark farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp whitelist lookip error-notify certexpire led radattr addrblock unity<br></div><div>Dec  2 15:34:13 charon-custom: 00[LIB] dropped capabilities, running as uid 0, gid 0<br></div><div>Dec  2 15:34:13 charon-custom: 00[JOB] spawning 16 worker threads<br></div><div>Dec  2 15:34:13 charon-custom: 07[CFG] received stroke: add connection 'azure1'<br></div><div>Dec  2 15:34:13 charon-custom: 07[CFG] added configuration 'azure1'<br></div><div>Dec  2 15:34:13 charon-custom: 11[CFG] received stroke: initiate 'azure1'<br></div><div>Dec  2 15:34:13 charon-custom: 11[IKE] initiating IKE_SA azure1[1] to PUB_IP_REMOTE<br></div><div>Dec  2 15:34:13 charon-custom: 11[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]<br></div><div>Dec  2 15:34:13 charon-custom: 11[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (1452 bytes)<br></div><div>Dec  2 15:34:13 charon-custom: 15[CFG] received stroke: add connection 'azure2'<br></div><div>Dec  2 15:34:13 charon-custom: 15[CFG] added child to existing configuration 'azure1'<br></div><div>Dec  2 15:34:13 charon-custom: 14[CFG] received stroke: initiate 'azure2'<br></div><div>Dec  2 15:34:13 charon-custom: 09[CFG] received stroke: add connection 'azure3'<br></div><div>Dec  2 15:34:13 charon-custom: 09[CFG] added child to existing configuration 'azure1'<br></div><div>Dec  2 15:34:13 charon-custom: 16[CFG] received stroke: initiate 'azure3'<br></div><div>Dec  2 15:34:17 charon-custom: 10[IKE] retransmit 1 of request with message ID 0<br></div><div>Dec  2 15:34:17 charon-custom: 10[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (1452 bytes)<br></div><div>Dec  2 15:34:24 charon-custom: 14[IKE] retransmit 2 of request with message ID 0<br></div><div>Dec  2 15:34:24 charon-custom: 14[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (1452 bytes)<br></div><div>Dec  2 15:34:37 charon-custom: 10[IKE] retransmit 3 of request with message ID 0<br></div><div>Dec  2 15:34:37 charon-custom: 10[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (1452 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 10[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (372 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 10[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V ]<br></div><div>Dec  2 15:34:49 charon-custom: 10[ENC] received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01<br></div><div>Dec  2 15:34:49 charon-custom: 10[IKE] received MS NT5 ISAKMPOAKLEY vendor ID<br></div><div>Dec  2 15:34:49 charon-custom: 10[IKE] received NAT-T (RFC 3947) vendor ID<br></div><div>Dec  2 15:34:49 charon-custom: 10[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br></div><div>Dec  2 15:34:49 charon-custom: 10[IKE] received FRAGMENTATION vendor ID<br></div><div>Dec  2 15:34:49 charon-custom: 10[ENC] received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20<br></div><div>Dec  2 15:34:49 charon-custom: 10[ENC] received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19<br></div><div>Dec  2 15:34:49 charon-custom: 10[ENC] received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52<br></div><div>Dec  2 15:34:49 charon-custom: 10[IKE] PUB_IP_REMOTE is initiating a Main Mode IKE_SA<br></div><div>Dec  2 15:34:49 charon-custom: 10[ENC] generating ID_PROT response 0 [ SA V V V ]<br></div><div>Dec  2 15:34:49 charon-custom: 10[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (136 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 15[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (284 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 15[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]<br></div><div>Dec  2 15:34:49 charon-custom: 15[ENC] generating ID_PROT response 0 [ KE No NAT-D NAT-D ]<br></div><div>Dec  2 15:34:49 charon-custom: 15[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (268 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 13[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (92 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 13[ENC] parsed ID_PROT request 0 [ ID HASH ]<br></div><div>Dec  2 15:34:49 charon-custom: 13[CFG] looking for pre-shared key peer configs matching PUB_IP_LOCAL...PUB_IP_REMOTE[PUB_IP_REMOTE]<br></div><div>Dec  2 15:34:49 charon-custom: 13[CFG] selected peer config "azure1"<br></div><div>Dec  2 15:34:49 charon-custom: 13[IKE] IKE_SA azure1[2] established between PUB_IP_LOCAL[PUB_IP_LOCAL]...PUB_IP_REMOTE[PUB_IP_REMOTE]<br></div><div>Dec  2 15:34:49 charon-custom: 13[IKE] scheduling reauthentication in 28494s<br></div><div>Dec  2 15:34:49 charon-custom: 13[IKE] maximum IKE_SA lifetime 28674s<br></div><div>Dec  2 15:34:49 charon-custom: 13[ENC] generating ID_PROT response 0 [ ID HASH ]<br></div><div>Dec  2 15:34:49 charon-custom: 13[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (92 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 08[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (396 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 08[ENC] parsed QUICK_MODE request 1 [ HASH SA No ID ID ]<br></div><div>Dec  2 15:34:49 charon-custom: 08[IKE] received 102400000000 lifebytes, configured 0<br></div><div>Dec  2 15:34:49 charon-custom: 08[ENC] generating QUICK_MODE response 1 [ HASH SA No ID ID ]<br></div><div>Dec  2 15:34:49 charon-custom: 08[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (204 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 09[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (396 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 09[ENC] parsed QUICK_MODE request 2 [ HASH SA No ID ID ]<br></div><div>Dec  2 15:34:49 charon-custom: 09[IKE] received 102400000000 lifebytes, configured 0<br></div><div>Dec  2 15:34:49 charon-custom: 09[ENC] generating QUICK_MODE response 2 [ HASH SA No ID ID ]<br></div><div>Dec  2 15:34:49 charon-custom: 09[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (204 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 04[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (76 bytes)<br></div><div>Dec  2 15:34:49 charon-custom: 04[ENC] parsed QUICK_MODE request 1 [ HASH ]<br></div><div>Dec  2 15:34:50 charon-custom: 04[IKE] CHILD_SA azure1{1} established with SPIs ca324e62_i 24d548c4_o and TS 10.1.0.0/16 === 10.5.0.0/24<br></div><div>Dec  2 15:34:50 charon-custom: 16[NET] received packet: from PUB_IP_REMOTE[500] to PUB_IP_LOCAL[500] (76 bytes)<br></div><div>Dec  2 15:34:50 charon-custom: 16[ENC] parsed QUICK_MODE request 2 [ HASH ]<br></div><div>Dec  2 15:34:50 charon-custom: 16[IKE] CHILD_SA azure2{2} established with SPIs cd87fa1d_i c89fa3be_o and TS 10.2.0.0/16 === 10.5.0.0/24<br></div><div>Dec  2 15:35:00 charon-custom: 10[IKE] retransmit 4 of request with message ID 0<br></div><div>Dec  2 15:35:00 charon-custom: 10[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (1452 bytes)<br></div><div>Dec  2 15:35:42 charon-custom: 04[IKE] retransmit 5 of request with message ID 0<br></div><div>Dec  2 15:35:42 charon-custom: 04[NET] sending packet: from PUB_IP_LOCAL[500] to PUB_IP_REMOTE[500] (1452 bytes)<br></div><div>Dec  2 15:36:58 charon-custom: 11[IKE] giving up after 5 retransmits<br></div><div>Dec  2 15:36:58 charon-custom: 11[IKE] establishing IKE_SA failed, peer not responding<br></div><div><br></div><div><span class="font" style="font-family:monospace">Any idea what is wrong here?</span><br></div>