<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hi everyone,<div>I have been given the following as the connection parameters to connect to a Cisco ASA:</div><div><br></div><div>Phase1:</div><div><div><div>Authentication Method<span style="white-space:pre">  </span><b>Pre-shared key</b><span style="white-space:pre">                    </span></div><div>Cryptography Type<span style="white-space:pre">     </span>       <b> IKE</b><span style="white-space:pre">                   </span></div><div>Diffie-Hellman Group<span style="white-space:pre">  </span><b>Group 2</b><span style="white-space:pre">           </span></div><div>Cryptography Algorithm<span style="white-space:pre">        </span><b>3DES</b><span style="white-space:pre">                      </span></div><div>Hash Algorithm<span style="white-space:pre">        </span>        <b>SHA-1</b><span style="white-space:pre">                 </span></div><div>Main or Aggressive Mode<span style="white-space:pre">       </span><b>Main mode</b><span style="white-space:pre">                 </span></div><div>Lifetime (for renegotiation)<span style="white-space:pre">  </span><b>28800 seconds</b><span style="white-space:pre">                     </span></div></div><div><br></div><div>Phase2:</div><div><div>Encapsulation (ESP or AH)<span style="white-space:pre">       </span><b>ESP</b><span style="white-space:pre"><b>      </b>              </span></div><div>Cryptography Algorithm<span style="white-space:pre">        </span>        <b>3DES</b><span style="white-space:pre"><b>        </b>              </span></div><div>Algorithm Method<span style="white-space:pre">      </span>                <b>SHA-1</b><span style="white-space:pre">                     </span></div><div>Perfect Forward Secrecy<span style="white-space:pre">       </span><b>NO PFS</b><span style="white-space:pre">                    </span></div><div>Lifetime (for renegotiation)<span style="white-space:pre">  </span><b>3600 seconds</b><span style="white-space:pre">                      </span></div></div><div><br></div><div><br></div><div>Can someone please help me spot the mistake in my ipsec.conf?</div><div><br></div><div>Also, what do I need to add to the file to get more debug output in the log at least so that I can see the proposals offered?</div><div><br></div><div>My ipsec.conf looks like this:</div><div><div>conn %default</div><div>        ikelifetime=60m</div><div>        keylife=20m</div><div>        rekeymargin=3m</div><div>        keyingtries=1</div><div>        authby=secret</div><div>        keyexchange=ikev1</div><div>        mobike=no</div></div><div><div>conn site1</div><div>       authby=secret</div><div>        left=178.128.x.x</div><div>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>        right=212.49.x.x</div><div>        rightsubnet=<a href="http://192.168.27.0/24">192.168.27.0/24</a></div><div>        # we tell StrongSwan which encryption algorithms to use for the VPN</div><div>        ike=3des-sha1-modp1024   <======== I am not sure about this value</div><div>        esp=3des-sha1</div><div>        pfs=no</div><div>        auto=start</div><div>        # configure dead-peer detection to clear any “dangling” connections in case the client unexpectedly disconnects</div><div>        dpdaction=clear</div><div>        dpddelay=300s</div><div>        rekey=no</div></div><div><br></div><div><br></div><div>Thanks</div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div>Best regards,<br>Odhiambo WASHINGTON,<br>Nairobi,KE<br>+254 7 3200 0004/+254 7 2274 3223<br>"<span style="font-size:12.8px">Oh, the cruft.</span><span style="font-size:12.8px">", </span><span style="font-size:12.8px">grep ^[^#] :-)</span></div></div></div></div></div></div></div></div></div></div></div></div></div>