<div dir="ltr"><div dir="ltr"><div>Resent (seems my last reply went to the wrong branch of the thread).</div><span class="gmail-im" style="color:rgb(80,0,80)"><div><br></div><div>Hi Tobias,</div><div><br></div><div>Thanks for the reply.</div><div>But what could be the reasons that the configuration is not loaded? In my case, "ipsec statusall" could dump the configuration, but you mean it is not loaded by charon?</div><div>How should I debug this further?</div><div>One thing I should mention is that I am running strongswan in a container (actually K8s Pod). I enabled privileged mode and also disabled AppArmor (before that I saw some AppArmor errors). Anything else I should pay attention to?</div><div><br></div></span><div>BTW, I tried the same test with a Ubuntu 18.04 image and still got the same issue.</div><div><br></div><div>Regards,</div><div>Jianjun</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Sep 4, 2019 at 7:58 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Jianjun,<br>
<br>
According to the log, the configuration is not loaded when the peer is<br>
trying to connect:<br>
<br>
> 00[JOB] spawning 16 worker threads<br>
> 05[NET] received packet: from 10.162.19.54[500] to 10.162.19.55[500]<br>
> (660 bytes)<br>
> 05[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP)<br>
> N(NATD_D_IP) N(HASH_ALG) ]<br>
> 05[CFG] looking for an ike config for 10.162.19.55...10.162.19.54<br>
> 05[IKE] no IKE config found for 10.162.19.55...10.162.19.54, sending<br>
> NO_PROPOSAL_CHOSEN<br>
<br>
There should be something like:<br>
<br>
> 05[CFG] received stroke: add connection 'host54'<br>
> 05[CFG] added configuration 'host54'<br>
> 07[CFG] received stroke: route 'host54'<br>
<br>
Until that happens the peer won't be able to connect.  Also, your host<br>
should initiate the connection afterwards if GRE traffic with matching<br>
IPs hits the installed trap policy.  Note that `left=0.0.0.0` is<br>
replaced in the trap policy with the local IP address:<br>
<br>
> Routed Connections:<br>
>     host54 {1}:  ROUTED, TRANSPORT, reqid 1<br>
>     host54 {1}:   <a href="http://10.162.19.55/32%5Bgre%5D" rel="noreferrer" target="_blank">10.162.19.55/32[gre]</a> === <a href="http://10.162.19.54/32%5Bgre%5D" rel="noreferrer" target="_blank">10.162.19.54/32[gre]</a><br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div></div>