<div dir="ltr">H

i,<div><br></div><div>I'm setting up a IPSec connection between a bunch of nodes, some running Windows 2019 datacenter server and others running Ubuntu 16.04 LTS. I'm using Windows built-in firewall to configure IPSec and Strongswan (Linux strongSwan U5.3.5/K4.15.0-1091-azure) on the Ubuntu nodes. Given the nature of the environment, I need to configure point-to-point IPSec connection i.e. transport mode. And we need the IPSec to apply for all traffic between the nodes i.e. all protocols and ports. The traffic can be initiated from either Windows or Linux node.</div><div><br></div><div>We have noticed under certain circumstances, the connectivity stops working between the Windows and Linux nodes. The issue is intermittent and possibly coincides with ipsec reload command execution used when we make changes in the ipsec.conf file. We haven't seen this between Linux nodes. From the syslog, we see the TS_UNACCEPT error. One of the Windows expert in the team captured netsh logs and he mentioned that the Linux node is sending a traffic selector with UDP protocol port 1025 specifically, which is probably leading to TS_UNACCEPT. This is unexpected, since we are expecting all protocol and port to be under IPSec. However, don't understand why this is intermittent.</div><div><br></div><div>Is there a property to specify the traffic selector explicitly in ipsec.conf?</div><div><br></div><div><b>Error from Windows logs:</b></div><div><b><br></b></div><div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px">[1]1310.06C0::08/18/2020-17:33:57.306 [ikeext] 14|10.0.0.20|TS: 10.0.0.10.<strong>1025</strong> - 10.0.0.10.1025 Protocol <strong>17 </strong></div></div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px"><strong><br></strong></div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px"><strong>IPSec.conf file:</strong></div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px"><strong><br></strong></div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px">config setup</div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px">  uniqueids=never</div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px"><br></div><div style="box-sizing:border-box;font-family:"Segoe UI",system-ui,"Apple Color Emoji","Segoe UI Emoji",sans-serif;font-size:14px">conn %default<br>  auto=route<br>  keyexchange=ikev2<br>  type=transport<br>  ike=aes256-sha2_256-modp2048!<br>  ikelifetime=30m<br>  esp=aes256-sha2_256!<br>  lifetime=30m<br>  rightca=%same<br>  left=10.0.0.18<br>  leftcert=ABC.crt<br>  rightcert=ABC.crt<br>  rightid="CN=EXAMPLE"<br><br><br>conn <a href="http://gw0-ipsec.net/" target="_blank">gw0-ipsec.net</a><br>  right=10.0.0.17</div></div>