
   <div><span style="-webkit-text-size-adjust: auto;">That takes me one step further, thank you. The IPv4 address pool loads. The client authenticates okay. Then an error occurs, "installing route for policy 0.0.0.0/0 === 10.9.0.1/32 failed."</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">The intention in this scenario is that the client should connect to the entire Internet via the StrongSwan Windows server. StrongSwan version is 5.7.1, and Windows Server is version 2016.</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">The file swanctl.conf looks like this:</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">connections {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">ikev2-eap-mschapv2 {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">version = 2</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">proposals = aes256-sha256-modp2048,aes256-sha256-modp1536,aes128-sha1-modp1024,default</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">rekey_time = 0s</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">pools = primary_pool_ipv4</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">fragmentation = yes</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">dpd_delay = 30s</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">local {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">certs = server.crt</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">id = </span><a dir="ltr" href="http://vpn.example.org/" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="2" style="-webkit-text-size-adjust: auto;">vpn.example.org</a><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">remote {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">auth = eap-mschapv2</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">eap_id = %any</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">children {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">ikev2-eap-mschapv2 {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">local_ts = 0.0.0.0/0</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">rekey_time = 0s</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">dpd_action = clear</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">esp_proposals = aes256-sha256,aes256-sha1,aes128-sha1,default</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">pools {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">primary_pool_ipv4 {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">addrs = 10.9.0.0/24</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">dns = 1.1.1.1, 1.0.0.1}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">secrets {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">eap-xxxx {</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">id = xxxx</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">secret = "yyyyyyyy"</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">}</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">Is that "local_ts = 0.0.0.0/0" not correct for this scenario?</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">The StrongSwan Windows Server log looks like this:</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[NET] received packet: from 11.22.33.44[49972] to 55.66.77.88[4500] (112 bytes)</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[ENC] parsed IKE_AUTH request 5 [ AUTH ]</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] authentication of 'xxxx' with EAP successful</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] authentication of '</span><a dir="ltr" href="http://vpn.example.org/" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="11" style="-webkit-text-size-adjust: auto;">vpn.example.org</a><span style="-webkit-text-size-adjust: auto;">' (myself) with EAP</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] IKE_SA ikev2-eap-mschapv2[4] established between 55.66.77.88[</span><a dir="ltr" href="http://vpn.example.org/" x-apple-data-detectors="true" x-apple-data-detectors-type="link" x-apple-data-detectors-result="13" style="-webkit-text-size-adjust: auto;">vpn.example.org</a><span style="-webkit-text-size-adjust: auto;">]...11.22.33.44[xxxx]</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] peer requested virtual IP %any</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[CFG] assigning new lease to 'xxxx'</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] assigning virtual IP 10.9.0.1 to peer 'xxxx'</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] peer requested virtual IP %any6</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] no virtual IP found for %any6 requested by 'xxxx'</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[CFG] selected proposal: ESP:AES_CBC_256/HMAC_SHA2_256_128/NO_EXT_SEQ</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[KNL] installing route for policy 0.0.0.0/0 === 10.9.0.1/32 failed</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[KNL] setting WFP SA SPI failed: 0x80320035</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] unable to install IPsec policies (SPD) in kernel</span><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">03[IKE] failed to establish CHILD_SA, keeping IKE_SA</span><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><br style="-webkit-text-size-adjust: auto;"><span style="-webkit-text-size-adjust: auto;">Sent with ProtonMail Secure Email.</span><br style="-webkit-text-size-adjust: auto;"></div><div><br></div><div id="protonmail_mobile_signature_block">Sent from ProtonMail Mobile</div> <div><br></div><div><br></div>On Fri, Dec 21, 2018 at 2:31 AM, Tobias Brunner <<a href="mailto:tobias@strongswan.org" class="">tobias@strongswan.org</a>> wrote:<blockquote class="protonmail_quote" type="cite">  Hi,<br><br>> This produce an error INTERNAL_ADDRESS_FAILURE (identities anonymized):<br>> ...<br>> Do you know what I need to correct to prevent this error?<br><br>Did you load the address pool with swanctl --load-pools?  (Using<br>--load-all also works.)  Check with --list-pools if the pool is loaded.<br><br>Regards,<br>Tobias<br><br></blockquote><div><br></div><div><br></div>