<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Hi,</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Have been using openswan on Ubuntu 14.04 on AWS EC2 for site to site connections (Ikev1 + PSK).</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Recently upgraded an image of the Ubuntu EC2 instance from 14.04 to 18.04.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Result is that openswan gets replaced with Strongswan. I eventually did a scratch install of strongswan and also installed the Cisco plugin for multiple subnet support.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Now testing one of the MANY VPNs we have previously setup on openswan.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Tunnels are up but ip xfrm policy / state shows no entry and therefore I assume that there is config issue.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Very new with Strongswan so not sure where to start troubleshooting.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Thanks.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Connections:</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1:  %any...%any  IKEv1, dpddelay=300s</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1:   local:  [52.x.x.x] uses pre-shared key authentication</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1:   remote: [196.y.y.y] uses pre-shared key authentication</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1:     child:  52.y.x.y/32 === a.a.a.a/32 b.b.b.b./32 TUNNEL, dpdaction=clear</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Security Associations (1 up, 0 connecting):</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1[3]: ESTABLISHED 2 seconds ago, 196.y.y.y[52.x.x.x]...196.y.y.y[196.y.y.y]</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1:[3]: IKEv1 SPIs: 003afabcd1191ddf_i f84ca9def5333a82_r*, rekeying disabled</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"> Conn1:[3]: IKE proposal: 3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">ip xfrm policy:</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket in priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket out priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket in priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket out priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src ::/0 dst ::/0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket in priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src ::/0 dst ::/0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket out priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src ::/0 dst ::/0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket in priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">src ::/0 dst ::/0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">        socket out priority 0</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">ipsec.conf</div><div class="gmail_default"><div class="gmail_default"><font face="verdana, sans-serif">config setup</font></div><div class="gmail_default"><font face="verdana, sans-serif">        strictcrlpolicy=yes</font></div><div class="gmail_default"><font face="verdana, sans-serif">        uniqueids = no</font></div><div class="gmail_default"><font face="verdana, sans-serif">        charondebug="ike 1, knl 1, cfg 0"</font></div><div class="gmail_default"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font face="verdana, sans-serif"># Add connections here.</font></div><div class="gmail_default"><font face="verdana, sans-serif">conn Conn1</font></div><div class="gmail_default"><font face="verdana, sans-serif">        auto=start</font></div><div class="gmail_default"><font face="verdana, sans-serif">        compress=no</font></div><div class="gmail_default"><font face="verdana, sans-serif">        type=tunnel</font></div><div class="gmail_default"><font face="verdana, sans-serif">        keyexchange=ikev1</font></div><div class="gmail_default"><font face="verdana, sans-serif">        fragmentation=yes</font></div><div class="gmail_default"><font face="verdana, sans-serif">        forceencaps=yes</font></div><div class="gmail_default"><font face="verdana, sans-serif">        dpdaction=clear</font></div><div class="gmail_default"><font face="verdana, sans-serif">        dpddelay=300s</font></div><div class="gmail_default"><font face="verdana, sans-serif">        rekey=no</font></div><div class="gmail_default"><font face="verdana, sans-serif">        aggressive=no</font></div><div class="gmail_default"><font face="verdana, sans-serif">        authby=psk</font></div><div class="gmail_default"><font face="verdana, sans-serif">        ike=3des-md5-modp1024</font></div><div class="gmail_default"><font face="verdana, sans-serif">        ikelifetime=86400s</font></div><div class="gmail_default"><font face="verdana, sans-serif">        esp=3des-md5-modp1024</font></div><div class="gmail_default"><font face="verdana, sans-serif">        lifetime=3600s</font></div><div class="gmail_default"><font face="verdana, sans-serif">        leftauth=psk</font></div><div class="gmail_default"><font face="verdana, sans-serif">        left=%defaultroute (also tried %any, but same result)</font></div><div class="gmail_default"><font face="verdana, sans-serif">        leftid=52.x.x.x</font></div><div class="gmail_default"><font face="verdana, sans-serif">        leftsubnet=52.y.x.y/32</font></div><div class="gmail_default"><font face="verdana, sans-serif">        rightauth=psk</font></div><div class="gmail_default"><font face="verdana, sans-serif">        rightid=196.y.y.y</font></div><div class="gmail_default"><font face="verdana, sans-serif">        rightsubnet=a.a.a.a/b.b.b.b/32</font></div><div class="gmail_default"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font face="verdana, sans-serif">Also currently still using iptables entry's from legacy openswan configuration for rightsubnet SNAT:</font></div><div class="gmail_default"><font face="verdana, sans-serif"><br></font></div><div class="gmail_default"><font face="verdana, sans-serif"><div class="gmail_default">iptables -t nat -A POSTROUTING -s 172.x.x.x/32 -d a.a.a.a/32 -j SNAT --to 52.y.x.y</div><div class="gmail_default">iptables -t nat -A POSTROUTING -s 172.x.x.x/32 -d b.b.b.b/32 -j SNAT --to 52.y.x.y</div><div class="gmail_default"><br></div></font></div></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div style="font-family:verdana,sans-serif;font-size:small"><br></div></div></div><div><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div>