
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Hello</div>

<div style="font-family: Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

We force Ikev2 client to use their local internet for browsing instead of remote server<br>

</div>

<div>

<div id="appendonsend"></div>

<div style="font-family:Calibri,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

i have configured Strongswan 5.9 on Centos8. here is below routing.</div>

<div style="font-family:Calibri,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<br>

</div>

<div style="font-family:Calibri,Helvetica,sans-serif; font-size:12pt; color:rgb(0,0,0)">

<p style="margin:0.0px 0.0px 0.0px 0.0px;font:9.0px Menlo;color:#ffffff;background-color:rgba(0, 0, 0, 0.81)">

<span style="font-variant-ligatures:no-common-ligatures">default via 172.31.32.1 dev eth0 proto dhcp metric 100<span class="Apple-converted-space"> </span></span></p>

<p style="margin:0.0px 0.0px 0.0px 0.0px;font:9.0px Menlo;color:#ffffff;background-color:rgba(0, 0, 0, 0.81)">

<span style="font-variant-ligatures:no-common-ligatures">172.31.32.0/20 dev eth0 proto kernel scope link src 172.31.42.77 metric 100<span class="Apple-converted-space"> </span></span></p>

<br>

</div>

<hr tabindex="-1" style="display:inline-block; width:98%">

<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" color="#000000" style="font-size:11pt"><b>From:</b> Users <users-bounces@lists.strongswan.org> on behalf of users-request@lists.strongswan.org <users-request@lists.strongswan.org><br>

<b>Sent:</b> Tuesday, March 9, 2021 8:07 PM<br>

<b>To:</b> users@lists.strongswan.org <users@lists.strongswan.org><br>

<b>Subject:</b> Users Digest, Vol 134, Issue 7</font>

<div> </div>

</div>

<div class="BodyFragment"><font size="2"><span style="font-size:11pt">

<div class="PlainText">Send Users mailing list submissions to<br>

        users@lists.strongswan.org<br>

<br>

To subscribe or unsubscribe via the World Wide Web, visit<br>

        <a href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a><br>

or, via email, send a message with subject or body 'help' to<br>

        users-request@lists.strongswan.org<br>

<br>

You can reach the person managing the list at<br>

        users-owner@lists.strongswan.org<br>

<br>

When replying, please edit your Subject line so it is more specific<br>

than "Re: Contents of Users digest..."<br>

<br>

<br>

Today's Topics:<br>

<br>

   1. Re: IKEv1 Phase 1 rekey deletes Phase 2 SA (Sean B)<br>

<br>

<br>

----------------------------------------------------------------------<br>

<br>

Message: 1<br>

Date: Tue, 9 Mar 2021 12:06:47 -0500<br>

From: Sean B <sb3957312@gmail.com><br>

To: users@lists.strongswan.org<br>

Subject: Re: [strongSwan] IKEv1 Phase 1 rekey deletes Phase 2 SA<br>

Message-ID:<br>

        <CA+c0=jfcwW4BW=vY0O87bLpWJzSeQez5HbLySkZi7_6U-6D4Nw@mail.gmail.com><br>

Content-Type: text/plain; charset="utf-8"<br>

<br>

Adding charon_debug.log:<br>

Tue, 2021-03-09, %H:32:09 00[DMN] Starting IKE charon daemon (strongSwan<br>

5.8.4, Linux 5.5.0-kali2-amd64, x86_64)<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'aesni': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'aes': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'rc2': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'sha2': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'sha1': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'md5': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'mgf1': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'random': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'nonce': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'x509': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'revocation': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'constraints': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pubkey': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pkcs1': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pkcs7': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pkcs8': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pkcs12': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pgp': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'dnskey': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'sshkey': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'pem': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'openssl': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'fips-prf': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'gmp': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'agent': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'xcbc': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'hmac': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'gcm': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'drbg': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'attr': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'kernel-netlink': loaded<br>

successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'resolve': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'socket-default': loaded<br>

successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'connmark': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'stroke': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'updown': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'eap-mschapv2': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'xauth-generic': loaded<br>

successfully<br>

Tue, 2021-03-09, %H:32:09 00[LIB] plugin 'counters': loaded successfully<br>

Tue, 2021-03-09, %H:32:09 00[KNL] known interfaces and IP addresses:<br>

Tue, 2021-03-09, %H:32:09 00[KNL]   lo<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     127.0.0.1<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     ::1<br>

Tue, 2021-03-09, %H:32:09 00[KNL]   eth0<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     10.100.1.66<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     fe80::7ddb:e857:c734:34bf<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     fe80::435e:56e6:3941:5794<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     fe80::e8af:3339:4054:be35<br>

Tue, 2021-03-09, %H:32:09 00[KNL]   eth1<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     192.19.22.10<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     fe80::4d93:72c5:862e:b87f<br>

Tue, 2021-03-09, %H:32:09 00[KNL]   ciscogl<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     172.19.22.10<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     fe80::ac43:a10d:f6a4:d424<br>

Tue, 2021-03-09, %H:32:09 00[KNL]   docker0<br>

Tue, 2021-03-09, %H:32:09 00[KNL]     172.17.0.1<br>

Tue, 2021-03-09, %H:32:09 00[LIB] feature PUBKEY:BLISS in plugin 'pem' has<br>

unmet dependency: PUBKEY:BLISS<br>

Tue, 2021-03-09, %H:32:09 00[LIB] feature PUBKEY:DSA in plugin 'pem' has<br>

unmet dependency: PUBKEY:DSA<br>

Tue, 2021-03-09, %H:32:09 00[LIB] feature PRIVKEY:DSA in plugin 'pem' has<br>

unmet dependency: PRIVKEY:DSA<br>

Tue, 2021-03-09, %H:32:09 00[LIB] feature PRIVKEY:BLISS in plugin 'pem' has<br>

unmet dependency: PRIVKEY:BLISS<br>

Tue, 2021-03-09, %H:32:09 00[LIB] feature CERT_DECODE:OCSP_REQUEST in<br>

plugin 'pem' has unmet dependency: CERT_DECODE:OCSP_REQUEST<br>

Tue, 2021-03-09, %H:32:09 00[CFG] loading ca certificates from<br>

'/etc/ipsec.d/cacerts'<br>

Tue, 2021-03-09, %H:32:09 00[CFG]   loaded ca certificate "C=CA, CN=Root<br>

CA, ST=ON, L=Ottawa, O=Lightship Security, OU=CC1903" from<br>

'/etc/ipsec.d/cacerts/ca.cert.pem'<br>

Tue, 2021-03-09, %H:32:09 00[CFG] loading aa certificates from<br>

'/etc/ipsec.d/aacerts'<br>

Tue, 2021-03-09, %H:32:09 00[CFG] loading ocsp signer certificates from<br>

'/etc/ipsec.d/ocspcerts'<br>

Tue, 2021-03-09, %H:32:09 00[CFG] loading attribute certificates from<br>

'/etc/ipsec.d/acerts'<br>

Tue, 2021-03-09, %H:32:09 00[CFG] loading crls from '/etc/ipsec.d/crls'<br>

Tue, 2021-03-09, %H:32:09 00[CFG] loading secrets from '/etc/ipsec.secrets'<br>

Tue, 2021-03-09, %H:32:09 00[CFG] expanding file expression<br>

'/var/lib/strongswan/ipsec.secrets.inc' failed<br>

Tue, 2021-03-09, %H:32:09 00[CFG]   loaded IKE secret for %any<br>

Tue, 2021-03-09, %H:32:09 00[LIB] loaded plugins: charon aesni aes rc2 sha2<br>

sha1 md5 mgf1 random nonce x509 revocation constraints pubkey pkcs1 pkcs7<br>

pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm<br>

drbg attr kernel-netlink resolve socket-default connmark stroke updown<br>

eap-mschapv2 xauth-generic counters<br>

Tue, 2021-03-09, %H:32:09 00[LIB] unable to load 5 plugin features (5 due<br>

to unmet dependencies)<br>

Tue, 2021-03-09, %H:32:09 00[LIB] dropped capabilities, running as uid 0,<br>

gid 0<br>

Tue, 2021-03-09, %H:32:09 00[JOB] spawning 16 worker threads<br>

Tue, 2021-03-09, %H:32:09 01[LIB] created thread 01 [25657]<br>

Tue, 2021-03-09, %H:32:09 02[LIB] created thread 02 [25658]<br>

Tue, 2021-03-09, %H:32:09 03[LIB] created thread 03 [25656]<br>

Tue, 2021-03-09, %H:32:09 04[LIB] created thread 04 [25659]<br>

Tue, 2021-03-09, %H:32:09 05[LIB] created thread 05 [25660]<br>

Tue, 2021-03-09, %H:32:09 06[LIB] created thread 06 [25655]<br>

Tue, 2021-03-09, %H:32:09 07[LIB] created thread 07 [25661]<br>

Tue, 2021-03-09, %H:32:09 08[LIB] created thread 08 [25662]<br>

Tue, 2021-03-09, %H:32:09 09[LIB] created thread 09 [25654]<br>

Tue, 2021-03-09, %H:32:09 10[LIB] created thread 10 [25663]<br>

Tue, 2021-03-09, %H:32:09 11[LIB] created thread 11 [25664]<br>

Tue, 2021-03-09, %H:32:09 12[LIB] created thread 12 [25665]<br>

Tue, 2021-03-09, %H:32:09 13[LIB] created thread 13 [25666]<br>

Tue, 2021-03-09, %H:32:09 14[LIB] created thread 14 [25653]<br>

Tue, 2021-03-09, %H:32:09 15[LIB] created thread 15 [25667]<br>

Tue, 2021-03-09, %H:32:09 16[LIB] created thread 16 [25652]<br>

Tue, 2021-03-09, %H:32:09 05[CFG] received stroke: add connection 'VPNPeer'<br>

Tue, 2021-03-09, %H:32:09 05[CFG] conn VPNPeer<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   left=192.19.22.10<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   leftauth=psk<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   leftupdown=ipsec _updown iptables<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   right=192.19.22.1<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   rightauth=psk<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   ike=aes256-sha1-modp2048 !<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   esp=aes128-sha1-modp2048 !<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   dpddelay=30<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   dpdtimeout=150<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   sha256_96=no<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   mediation=no<br>

Tue, 2021-03-09, %H:32:09 05[CFG]   keyexchange=ikev1<br>

Tue, 2021-03-09, %H:32:09 05[KNL] 192.19.22.1 is not a local address or the<br>

interface is down<br>

Tue, 2021-03-09, %H:32:09 05[CFG] added configuration 'VPNPeer'<br>

Tue, 2021-03-09, %H:32:17 07[NET] <1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (244 bytes)<br>

Tue, 2021-03-09, %H:32:17 07[ENC] <1> parsed ID_PROT request 0 [ SA V V V V<br>

]<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1> looking for an IKEv1 config for<br>

192.19.22.10...192.19.22.1<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1>   candidate:<br>

192.19.22.10...192.19.22.1, prio 3100<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1> found matching ike config:<br>

192.19.22.10...192.19.22.1 with prio 3100<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> received NAT-T (RFC 3947) vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> received<br>

draft-ietf-ipsec-nat-t-ike-07 vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> received<br>

draft-ietf-ipsec-nat-t-ike-03 vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> received<br>

draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> 192.19.22.1 is initiating a Main Mode<br>

IKE_SA<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> IKE_SA (unnamed)[1] state change:<br>

CREATED => CONNECTING<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1> selecting proposal:<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1>   proposal matches<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1> received proposals:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,<br>

IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,<br>

IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1> configured proposals:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:32:17 07[CFG] <1> selected proposal:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> sending XAuth vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> sending DPD vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[IKE] <1> sending NAT-T (RFC 3947) vendor ID<br>

Tue, 2021-03-09, %H:32:17 07[ENC] <1> generating ID_PROT response 0 [ SA V<br>

V V ]<br>

Tue, 2021-03-09, %H:32:17 07[NET] <1> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (136 bytes)<br>

Tue, 2021-03-09, %H:32:17 08[NET] <1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (412 bytes)<br>

Tue, 2021-03-09, %H:32:17 08[ENC] <1> parsed ID_PROT request 0 [ KE No V V<br>

V NAT-D NAT-D ]<br>

Tue, 2021-03-09, %H:32:17 08[IKE] <1> received DPD vendor ID<br>

Tue, 2021-03-09, %H:32:17 08[ENC] <1> received unknown vendor ID:<br>

10:f9:6f:0a:50:a5:1b:9c:da:5b:9b:ec:f8:f8:1e:3e<br>

Tue, 2021-03-09, %H:32:17 08[IKE] <1> received XAuth vendor ID<br>

Tue, 2021-03-09, %H:32:17 08[LIB] <1> size of DH secret exponent: 2047 bits<br>

Tue, 2021-03-09, %H:32:17 08[CFG] <1>   candidate "VPNPeer", match:<br>

1/1/3100 (me/other/ike)<br>

Tue, 2021-03-09, %H:32:17 08[ENC] <1> generating ID_PROT response 0 [ KE No<br>

NAT-D NAT-D ]<br>

Tue, 2021-03-09, %H:32:17 08[NET] <1> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (372 bytes)<br>

Tue, 2021-03-09, %H:32:17 09[NET] <1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (108 bytes)<br>

Tue, 2021-03-09, %H:32:17 09[ENC] <1> parsed ID_PROT request 0 [ ID HASH<br>

N(INITIAL_CONTACT) ]<br>

Tue, 2021-03-09, %H:32:17 09[CFG] <1> looking for pre-shared key peer<br>

configs matching 192.19.22.10...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:32:17 09[CFG] <1>   candidate "VPNPeer", match:<br>

1/20/3100 (me/other/ike)<br>

Tue, 2021-03-09, %H:32:17 09[CFG] <1> selected peer config "VPNPeer"<br>

Tue, 2021-03-09, %H:32:17 09[IKE] <VPNPeer|1> IKE_SA VPNPeer[1] established<br>

between 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:32:17 09[IKE] <VPNPeer|1> IKE_SA VPNPeer[1] state<br>

change: CONNECTING => ESTABLISHED<br>

Tue, 2021-03-09, %H:32:17 09[IKE] <VPNPeer|1> scheduling reauthentication<br>

in 86400s<br>

Tue, 2021-03-09, %H:32:17 09[IKE] <VPNPeer|1> maximum IKE_SA lifetime 86400s<br>

Tue, 2021-03-09, %H:32:17 09[ENC] <VPNPeer|1> generating ID_PROT response 0<br>

[ ID HASH ]<br>

Tue, 2021-03-09, %H:32:17 09[NET] <VPNPeer|1> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (76 bytes)<br>

Tue, 2021-03-09, %H:32:17 11[NET] <VPNPeer|1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (444 bytes)<br>

Tue, 2021-03-09, %H:32:17 11[ENC] <VPNPeer|1> parsed QUICK_MODE request<br>

256501508 [ HASH SA No KE ID ID ]<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> looking for a child config<br>

for 192.19.22.10/32 === 192.19.22.1/32<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> proposing traffic selectors<br>

for us:<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1>  192.19.22.10/32<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> proposing traffic selectors<br>

for other:<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1>  192.19.22.1/32<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1>   candidate "VPNPeer" with<br>

prio 5+5<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> found matching child config<br>

"VPNPeer" with prio 10<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> selecting traffic selectors<br>

for other:<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1>  config: 192.19.22.1/32,<br>

received: 192.19.22.1/32 => match: 192.19.22.1/32<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> selecting traffic selectors<br>

for us:<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1>  config: 192.19.22.10/32,<br>

received: 192.19.22.10/32 => match: 192.19.22.10/32<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> selecting proposal:<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1>   proposal matches<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> received proposals:<br>

ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> configured proposals:<br>

ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ<br>

Tue, 2021-03-09, %H:32:17 11[CFG] <VPNPeer|1> selected proposal:<br>

ESP:AES_CBC_128/HMAC_SHA1_96/MODP_2048/NO_EXT_SEQ<br>

Tue, 2021-03-09, %H:32:17 11[IKE] <VPNPeer|1> received 1000000000<br>

lifebytes, configured 0<br>

Tue, 2021-03-09, %H:32:17 11[LIB] <VPNPeer|1> size of DH secret exponent:<br>

2047 bits<br>

Tue, 2021-03-09, %H:32:17 11[KNL] <VPNPeer|1> got SPI c8bf9eca<br>

Tue, 2021-03-09, %H:32:17 11[ENC] <VPNPeer|1> generating QUICK_MODE<br>

response 256501508 [ HASH SA No KE ID ID ]<br>

Tue, 2021-03-09, %H:32:17 11[NET] <VPNPeer|1> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (444 bytes)<br>

Tue, 2021-03-09, %H:32:17 12[NET] <VPNPeer|1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (60 bytes)<br>

Tue, 2021-03-09, %H:32:17 12[ENC] <VPNPeer|1> parsed QUICK_MODE request<br>

256501508 [ HASH ]<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1> CHILD_SA VPNPeer{1} state<br>

change: CREATED => INSTALLING<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1>   using AES_CBC for encryption<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1>   using HMAC_SHA1_96 for<br>

integrity<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1> adding inbound ESP SA<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1>   SPI 0xc8bf9eca, src<br>

192.19.22.1 dst 192.19.22.10<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> adding SAD entry with SPI<br>

c8bf9eca and reqid {1}<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   using encryption algorithm<br>

AES_CBC with key size 128<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   using integrity algorithm<br>

HMAC_SHA1_96 with key size 160<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   using replay window of 32<br>

packets<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   HW offload: no<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1> adding outbound ESP SA<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1>   SPI 0x2d5a8f29, src<br>

192.19.22.10 dst 192.19.22.1<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> adding SAD entry with SPI<br>

2d5a8f29 and reqid {1}<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   using encryption algorithm<br>

AES_CBC with key size 128<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   using integrity algorithm<br>

HMAC_SHA1_96 with key size 160<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   using replay window of 0<br>

packets<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1>   HW offload: no<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> adding policy 192.19.22.1/32<br>

=== 192.19.22.10/32 in [priority 367231, refcount 1]<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> adding policy 192.19.22.1/32<br>

=== 192.19.22.10/32 fwd [priority 367231, refcount 1]<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> adding policy 192.19.22.10/32<br>

=== 192.19.22.1/32 out [priority 367231, refcount 1]<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> getting a local address in<br>

traffic selector 192.19.22.10/32<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> using host 192.19.22.10<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> getting iface name for index 3<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> using 192.19.22.1 as nexthop<br>

and eth1 as dev to reach 192.19.22.1/32<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> installing route:<br>

192.19.22.1/32 via 192.19.22.1 src 192.19.22.10 dev eth1<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> getting iface index for eth1<br>

Tue, 2021-03-09, %H:32:17 12[IKE] <VPNPeer|1> CHILD_SA VPNPeer{1}<br>

established with SPIs c8bf9eca_i 2d5a8f29_o and TS 192.19.22.10/32 ===<br>

192.19.22.1/32<br>

Tue, 2021-03-09, %H:32:17 12[CHD] <VPNPeer|1> CHILD_SA VPNPeer{1} state<br>

change: INSTALLING => INSTALLED<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> getting iface name for index 3<br>

Tue, 2021-03-09, %H:32:17 12[KNL] <VPNPeer|1> using 192.19.22.1 as nexthop<br>

and eth1 as dev to reach 192.19.22.1/32<br>

Tue, 2021-03-09, %H:32:28 15[KNL] <VPNPeer|1> querying SAD entry with SPI<br>

c8bf9eca<br>

Tue, 2021-03-09, %H:32:28 15[KNL] <VPNPeer|1> querying policy 192.19.22.1/32<br>

=== 192.19.22.10/32 in<br>

Tue, 2021-03-09, %H:32:28 15[KNL] <VPNPeer|1> querying policy 192.19.22.1/32<br>

=== 192.19.22.10/32 fwd<br>

Tue, 2021-03-09, %H:32:28 15[KNL] <VPNPeer|1> querying SAD entry with SPI<br>

2d5a8f29<br>

Tue, 2021-03-09, %H:32:28 15[KNL] <VPNPeer|1> querying policy<br>

192.19.22.10/32 === 192.19.22.1/32 out<br>

Tue, 2021-03-09, %H:37:17 05[NET] <VPNPeer|1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (92 bytes)<br>

Tue, 2021-03-09, %H:37:17 05[ENC] <VPNPeer|1> parsed INFORMATIONAL_V1<br>

request 3632002282 [ HASH N(DPD) ]<br>

Tue, 2021-03-09, %H:37:17 05[IKE] <VPNPeer|1> queueing ISAKMP_DPD task<br>

Tue, 2021-03-09, %H:37:17 05[IKE] <VPNPeer|1> activating new tasks<br>

Tue, 2021-03-09, %H:37:17 05[IKE] <VPNPeer|1>   activating ISAKMP_DPD task<br>

Tue, 2021-03-09, %H:37:17 05[ENC] <VPNPeer|1> generating INFORMATIONAL_V1<br>

request 840089277 [ HASH N(DPD_ACK) ]<br>

Tue, 2021-03-09, %H:37:17 05[NET] <VPNPeer|1> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (92 bytes)<br>

Tue, 2021-03-09, %H:37:17 05[IKE] <VPNPeer|1> activating new tasks<br>

Tue, 2021-03-09, %H:37:17 05[IKE] <VPNPeer|1> nothing to initiate<br>

Tue, 2021-03-09, %H:38:37 07[NET] <VPNPeer|1> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (92 bytes)<br>

Tue, 2021-03-09, %H:38:37 07[ENC] <VPNPeer|1> parsed INFORMATIONAL_V1<br>

request 2900110358 [ HASH D ]<br>

Tue, 2021-03-09, %H:38:37 07[IKE] <VPNPeer|1> received DELETE for IKE_SA<br>

VPNPeer[1]<br>

Tue, 2021-03-09, %H:38:37 07[IKE] <VPNPeer|1> deleting IKE_SA VPNPeer[1]<br>

between 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:38:37 07[IKE] <VPNPeer|1> IKE_SA VPNPeer[1] state<br>

change: ESTABLISHED => DELETING<br>

Tue, 2021-03-09, %H:38:37 07[IKE] <VPNPeer|1> IKE_SA VPNPeer[1] state<br>

change: DELETING => DELETING<br>

Tue, 2021-03-09, %H:38:37 08[NET] <2> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (244 bytes)<br>

Tue, 2021-03-09, %H:38:37 07[IKE] <VPNPeer|1> IKE_SA VPNPeer[1] state<br>

change: DELETING => DESTROYING<br>

Tue, 2021-03-09, %H:38:37 07[CHD] <VPNPeer|1> CHILD_SA VPNPeer{1} state<br>

change: INSTALLED => DESTROYING<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleting policy<br>

192.19.22.10/32 === 192.19.22.1/32 out<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleting policy 192.19.22.1/32<br>

=== 192.19.22.10/32 in<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleting policy 192.19.22.1/32<br>

=== 192.19.22.10/32 fwd<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleting SAD entry with SPI<br>

c8bf9eca<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleted SAD entry with SPI<br>

c8bf9eca<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleting SAD entry with SPI<br>

2d5a8f29<br>

Tue, 2021-03-09, %H:38:37 07[KNL] <VPNPeer|1> deleted SAD entry with SPI<br>

2d5a8f29<br>

Tue, 2021-03-09, %H:38:37 08[ENC] <2> parsed ID_PROT request 0 [ SA V V V V<br>

]<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2> looking for an IKEv1 config for<br>

192.19.22.10...192.19.22.1<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2>   candidate:<br>

192.19.22.10...192.19.22.1, prio 3100<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2> found matching ike config:<br>

192.19.22.10...192.19.22.1 with prio 3100<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> received NAT-T (RFC 3947) vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> received<br>

draft-ietf-ipsec-nat-t-ike-07 vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> received<br>

draft-ietf-ipsec-nat-t-ike-03 vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> received<br>

draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> 192.19.22.1 is initiating a Main Mode<br>

IKE_SA<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> IKE_SA (unnamed)[2] state change:<br>

CREATED => CONNECTING<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2> selecting proposal:<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2>   proposal matches<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2> received proposals:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,<br>

IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,<br>

IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2> configured proposals:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:38:37 08[CFG] <2> selected proposal:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> sending XAuth vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> sending DPD vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[IKE] <2> sending NAT-T (RFC 3947) vendor ID<br>

Tue, 2021-03-09, %H:38:37 08[ENC] <2> generating ID_PROT response 0 [ SA V<br>

V V ]<br>

Tue, 2021-03-09, %H:38:37 08[NET] <2> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (136 bytes)<br>

Tue, 2021-03-09, %H:38:37 09[NET] <2> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (412 bytes)<br>

Tue, 2021-03-09, %H:38:37 09[ENC] <2> parsed ID_PROT request 0 [ KE No V V<br>

V NAT-D NAT-D ]<br>

Tue, 2021-03-09, %H:38:37 09[IKE] <2> received DPD vendor ID<br>

Tue, 2021-03-09, %H:38:37 09[ENC] <2> received unknown vendor ID:<br>

10:f9:6f:0a:02:d3:cc:91:9c:61:7d:60:6f:41:1f:c8<br>

Tue, 2021-03-09, %H:38:37 09[IKE] <2> received XAuth vendor ID<br>

Tue, 2021-03-09, %H:38:37 09[LIB] <2> size of DH secret exponent: 2047 bits<br>

Tue, 2021-03-09, %H:38:37 09[CFG] <2>   candidate "VPNPeer", match:<br>

1/1/3100 (me/other/ike)<br>

Tue, 2021-03-09, %H:38:37 09[ENC] <2> generating ID_PROT response 0 [ KE No<br>

NAT-D NAT-D ]<br>

Tue, 2021-03-09, %H:38:37 09[NET] <2> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (372 bytes)<br>

Tue, 2021-03-09, %H:38:37 11[NET] <2> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (76 bytes)<br>

Tue, 2021-03-09, %H:38:37 11[ENC] <2> parsed ID_PROT request 0 [ ID HASH ]<br>

Tue, 2021-03-09, %H:38:37 11[CFG] <2> looking for pre-shared key peer<br>

configs matching 192.19.22.10...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:38:37 11[CFG] <2>   candidate "VPNPeer", match:<br>

1/20/3100 (me/other/ike)<br>

Tue, 2021-03-09, %H:38:37 11[CFG] <2> selected peer config "VPNPeer"<br>

Tue, 2021-03-09, %H:38:37 11[IKE] <VPNPeer|2> IKE_SA VPNPeer[2] established<br>

between 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:38:37 11[IKE] <VPNPeer|2> IKE_SA VPNPeer[2] state<br>

change: CONNECTING => ESTABLISHED<br>

Tue, 2021-03-09, %H:38:37 11[IKE] <VPNPeer|2> scheduling reauthentication<br>

in 86400s<br>

Tue, 2021-03-09, %H:38:37 11[IKE] <VPNPeer|2> maximum IKE_SA lifetime 86400s<br>

Tue, 2021-03-09, %H:38:37 11[ENC] <VPNPeer|2> generating ID_PROT response 0<br>

[ ID HASH ]<br>

Tue, 2021-03-09, %H:38:37 11[NET] <VPNPeer|2> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (76 bytes)<br>

Tue, 2021-03-09, %H:39:15 15[CFG] received stroke: terminate 'VPNPeer'<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2> queueing ISAKMP_DELETE task<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2> activating new tasks<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2>   activating ISAKMP_DELETE<br>

task<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2> deleting IKE_SA VPNPeer[2]<br>

between 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2> sending DELETE for IKE_SA<br>

VPNPeer[2]<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2> IKE_SA VPNPeer[2] state<br>

change: ESTABLISHED => DELETING<br>

Tue, 2021-03-09, %H:39:15 05[ENC] <VPNPeer|2> generating INFORMATIONAL_V1<br>

request 1114736905 [ HASH D ]<br>

Tue, 2021-03-09, %H:39:15 05[NET] <VPNPeer|2> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (92 bytes)<br>

Tue, 2021-03-09, %H:39:15 05[IKE] <VPNPeer|2> IKE_SA VPNPeer[2] state<br>

change: DELETING => DESTROYING<br>

Tue, 2021-03-09, %H:39:15 07[NET] <3> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (244 bytes)<br>

Tue, 2021-03-09, %H:39:15 07[ENC] <3> parsed ID_PROT request 0 [ SA V V V V<br>

]<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3> looking for an IKEv1 config for<br>

192.19.22.10...192.19.22.1<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3>   candidate:<br>

192.19.22.10...192.19.22.1, prio 3100<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3> found matching ike config:<br>

192.19.22.10...192.19.22.1 with prio 3100<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> received NAT-T (RFC 3947) vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> received<br>

draft-ietf-ipsec-nat-t-ike-07 vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> received<br>

draft-ietf-ipsec-nat-t-ike-03 vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> received<br>

draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> 192.19.22.1 is initiating a Main Mode<br>

IKE_SA<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> IKE_SA (unnamed)[3] state change:<br>

CREATED => CONNECTING<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3> selecting proposal:<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3>   proposal matches<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3> received proposals:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,<br>

IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048,<br>

IKE:AES_CBC_192/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3> configured proposals:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:39:15 07[CFG] <3> selected proposal:<br>

IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> sending XAuth vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> sending DPD vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[IKE] <3> sending NAT-T (RFC 3947) vendor ID<br>

Tue, 2021-03-09, %H:39:15 07[ENC] <3> generating ID_PROT response 0 [ SA V<br>

V V ]<br>

Tue, 2021-03-09, %H:39:15 07[NET] <3> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (136 bytes)<br>

Tue, 2021-03-09, %H:39:15 08[NET] <3> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (412 bytes)<br>

Tue, 2021-03-09, %H:39:15 08[ENC] <3> parsed ID_PROT request 0 [ KE No V V<br>

V NAT-D NAT-D ]<br>

Tue, 2021-03-09, %H:39:15 08[IKE] <3> received DPD vendor ID<br>

Tue, 2021-03-09, %H:39:15 08[ENC] <3> received unknown vendor ID:<br>

10:f9:6f:0a:d5:5e:d6:1c:e6:59:75:2b:e7:46:d2:a4<br>

Tue, 2021-03-09, %H:39:15 08[IKE] <3> received XAuth vendor ID<br>

Tue, 2021-03-09, %H:39:15 08[LIB] <3> size of DH secret exponent: 2047 bits<br>

Tue, 2021-03-09, %H:39:15 08[CFG] <3>   candidate "VPNPeer", match:<br>

1/1/3100 (me/other/ike)<br>

Tue, 2021-03-09, %H:39:15 08[ENC] <3> generating ID_PROT response 0 [ KE No<br>

NAT-D NAT-D ]<br>

Tue, 2021-03-09, %H:39:15 08[NET] <3> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (372 bytes)<br>

Tue, 2021-03-09, %H:39:15 09[NET] <3> received packet: from<br>

192.19.22.1[500] to 192.19.22.10[500] (76 bytes)<br>

Tue, 2021-03-09, %H:39:15 09[ENC] <3> parsed ID_PROT request 0 [ ID HASH ]<br>

Tue, 2021-03-09, %H:39:15 09[CFG] <3> looking for pre-shared key peer<br>

configs matching 192.19.22.10...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:39:15 09[CFG] <3>   candidate "VPNPeer", match:<br>

1/20/3100 (me/other/ike)<br>

Tue, 2021-03-09, %H:39:15 09[CFG] <3> selected peer config "VPNPeer"<br>

Tue, 2021-03-09, %H:39:15 09[IKE] <VPNPeer|3> IKE_SA VPNPeer[3] established<br>

between 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:39:15 09[IKE] <VPNPeer|3> IKE_SA VPNPeer[3] state<br>

change: CONNECTING => ESTABLISHED<br>

Tue, 2021-03-09, %H:39:15 09[IKE] <VPNPeer|3> scheduling reauthentication<br>

in 86400s<br>

Tue, 2021-03-09, %H:39:15 09[IKE] <VPNPeer|3> maximum IKE_SA lifetime 86400s<br>

Tue, 2021-03-09, %H:39:15 09[ENC] <VPNPeer|3> generating ID_PROT response 0<br>

[ ID HASH ]<br>

Tue, 2021-03-09, %H:39:15 09[NET] <VPNPeer|3> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (76 bytes)<br>

Tue, 2021-03-09, %H:39:17 00[DMN] signal of type SIGINT received. Shutting<br>

down<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3> queueing ISAKMP_DELETE task<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3> activating new tasks<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3>   activating ISAKMP_DELETE<br>

task<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3> deleting IKE_SA VPNPeer[3]<br>

between 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3> sending DELETE for IKE_SA<br>

VPNPeer[3]<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3> IKE_SA VPNPeer[3] state<br>

change: ESTABLISHED => DELETING<br>

Tue, 2021-03-09, %H:39:17 00[ENC] <VPNPeer|3> generating INFORMATIONAL_V1<br>

request 590983238 [ HASH D ]<br>

Tue, 2021-03-09, %H:39:17 00[NET] <VPNPeer|3> sending packet: from<br>

192.19.22.10[500] to 192.19.22.1[500] (92 bytes)<br>

Tue, 2021-03-09, %H:39:17 00[IKE] <VPNPeer|3> IKE_SA VPNPeer[3] state<br>

change: DELETING => DESTROYING<br>

<br>

<br>

><br>

> Message: 1<br>

> Date: Tue, 9 Mar 2021 11:50:44 -0500<br>

> From: Sean B <sb3957312@gmail.com><br>

> To: users@lists.strongswan.org<br>

> Subject: [strongSwan] IKEv1 Phase 1 rekey deletes Phase 2 SAs<br>

> Message-ID:<br>

>         <CA+c0=<br>

> jf_1QpkV9HTx_QLNyDoHSsFq2eWkN7SDwMEfVSciTEVrg@mail.gmail.com><br>

> Content-Type: text/plain; charset="utf-8"<br>

><br>

> Hi Strongswan-users,<br>

><br>

> I have a set up that requires IKEv1 and I'm running into a problem when the<br>

> IKEv1 Phase 1 (IKE SA) rekeys.  Phase 1 appears to rekey correctly, but<br>

> deletes the Phase 2 SAs.<br>

> Based on the following website, IPsec SAs are supposed to be adopted by the<br>

> new IKE SA and not recreated:<br>

> <a href="https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey">https://wiki.strongswan.org/projects/strongswan/wiki/ExpiryRekey</a><br>

> *"IKEv1* SAs are also rekeyed/reauthenticated using a make-before-break<br>

> scheme, however, only the IKE SA is affected. IPsec SAs are adopted by the<br>

> new IKE SA and not recreated."<br>

><br>

> In this setup the Strongswan (192.19.22.10) is configured as the Responder<br>

> and a Cisco IOS (192.19.22.1) device as the Initiator.<br>

> The initial connection is established, and the traffic is sent ESP<br>

> encapsulated.  The initiator attempts to rekey the IKE SA, and appears to<br>

> succeed.<br>

> Both the Initiator and the Responder are shown with the new IKE SA SPIs,<br>

> but during the IKE SA rekey Strongswan deletes the SAD entries for the<br>

> IPsec SAs.<br>

><br>

> Can someone please assist with troubleshooting this issue?<br>

> I am unable to determine if this is due to a configuration with the<br>

> connections in ipsec.conf, a setting in charon.conf, or if this is an issue<br>

> with how Cisco IOS attempts to rekey IKE SAs.<br>

> Cisco appears to be sending a DELETE message as per<br>

> <a href="https://tools.ietf.org/html/draft-jenkins-ipsec-rekeying-06#section-3.2">

https://tools.ietf.org/html/draft-jenkins-ipsec-rekeying-06#section-3.2</a>.<br>

><br>

> I've included the 'ipsec statusall' outputs, ipsec.conf, and<br>

> charon_debug.log<br>

> (I've added charon_debug.log as an attachment, would it have been better to<br>

> copy and paste into the body of the email?)<br>

> #####<br>

> # ipsec.conf - strongSwan IPsec configuration file<br>

><br>

> # basic configuration<br>

> config setup<br>

>     # strictcrlpolicy=yes<br>

>     # uniqueids = no<br>

><br>

> # Add connections here.<br>

> conn VPNPeer<br>

>         leftfirewall=yes<br>

>         keyexchange=ikev1<br>

><br>

>         # Phase 1 settings<br>

>         ikelifetime=24h<br>

>         margintime=0<br>

>         rekeyfuzz=0%<br>

>         lifetime=8h<br>

>         ike=aes256-sha1-modp2048 !<br>

><br>

>         # Phase 2<br>

>         esp=aes128-sha1-modp2048 !<br>

><br>

>         left=192.19.22.10<br>

>         right=192.19.22.1<br>

><br>

>         authby=psk<br>

><br>

>         type=tunnel<br>

><br>

>         auto=add<br>

><br>

>         # Rekeying<br>

>         #rekey=no<br>

><br>

> include /var/lib/strongswan/ipsec.conf.inc<br>

><br>

><br>

> #####<br>

> Here are the results from 'ipsec statusall':<br>

> Initial connection:<br>

> #ipsec statusall<br>

><br>

> Status of IKE charon daemon (weakSwan 5.8.4, Linux 5.5.0-kali2-amd64,<br>

> x86_64):<br>

>   uptime: 20 seconds, since Mar 09 13:32:08 2021<br>

>   malloc: sbrk 1622016, mmap 0, used 610688, free 1011328<br>

>   worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0,<br>

> scheduled: 3<br>

>   loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509<br>

> revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey<br>

> pem openssl fips-prf gmp agent xcbc hmac gcm drbg attr kernel-netlink<br>

> resolve socket-default connmark stroke updown eap-mschapv2 xauth-generic<br>

> counters<br>

><br>

> Listening IP addresses:<br>

>   192.19.22.10<br>

>   172.19.22.10<br>

>   172.17.0.1<br>

> Connections:<br>

>      VPNPeer:  192.19.22.10...192.19.22.1  IKEv1<br>

>      VPNPeer:   local:  [192.19.22.10] uses pre-shared key authentication<br>

>      VPNPeer:   remote: [192.19.22.1] uses pre-shared key authentication<br>

>      VPNPeer:   child:  dynamic === dynamic TUNNEL<br>

><br>

> Security Associations (1 up, 0 connecting):<br>

>      VPNPeer[1]: ESTABLISHED 11 seconds ago,<br>

> 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

>      VPNPeer[1]: IKEv1 SPIs: e53ec81750a41b9c_i 84f72669eb1b150b_r*,<br>

> pre-shared key reauthentication in 23 hours<br>

>      VPNPeer[1]: IKE proposal:<br>

> AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

>      VPNPeer{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c8bf9eca_i<br>

> 2d5a8f29_o<br>

>      VPNPeer{1}:  AES_CBC_128/HMAC_SHA1_96/MODP_2048, 400 bytes_i (4 pkts,<br>

> 9s ago), 400 bytes_o (4 pkts, 9s ago), rekeying in 7 hours<br>

>      VPNPeer{1}:   192.19.22.10/32 === 192.19.22.1/32<br>

><br>

><br>

><br>

> After IKE Phase 1 rekey:<br>

> #ipsec statusall<br>

><br>

> Status of IKE charon daemon (weakSwan 5.8.4, Linux 5.5.0-kali2-amd64,<br>

> x86_64):<br>

>   uptime: 6 minutes, since Mar 09 13:32:08 2021<br>

>   malloc: sbrk 1622016, mmap 0, used 640656, free 981360<br>

>   worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0,<br>

> scheduled: 5<br>

>   loaded plugins: charon aesni aes rc2 sha2 sha1 md5 mgf1 random nonce x509<br>

> revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey<br>

> pem openssl fips-prf gmp agent xcbc hmac gcm drbg attr kernel-netlink<br>

> resolve socket-default connmark stroke updown eap-mschapv2 xauth-generic<br>

> counters<br>

><br>

> Listening IP addresses:<br>

>   192.19.22.10<br>

>   172.19.22.10<br>

>   172.17.0.1<br>

> Connections:<br>

>      VPNPeer:  192.19.22.10...192.19.22.1  IKEv1<br>

>      VPNPeer:   local:  [192.19.22.10] uses pre-shared key authentication<br>

>      VPNPeer:   remote: [192.19.22.1] uses pre-shared key authentication<br>

>      VPNPeer:   child:  dynamic === dynamic TUNNEL<br>

><br>

> Security Associations (1 up, 0 connecting):<br>

>      VPNPeer[2]: ESTABLISHED 9 seconds ago,<br>

> 192.19.22.10[192.19.22.10]...192.19.22.1[192.19.22.1]<br>

>      VPNPeer[2]: IKEv1 SPIs: e53ec81702d2cc91_i 47da289647a60462_r*,<br>

> pre-shared key reauthentication in 23 hours<br>

>      VPNPeer[2]: IKE proposal:<br>

> AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048<br>

><br>

> #####<br>

> # charon_debug.log - attached.<br>

> -------------- next part --------------<br>

> An HTML attachment was scrubbed...<br>

> URL: <<br>

> <a href="http://lists.strongswan.org/pipermail/users/attachments/20210309/4c35ad50/attachment.html">

http://lists.strongswan.org/pipermail/users/attachments/20210309/4c35ad50/attachment.html</a><br>

> ><br>

> -------------- next part --------------<br>

> A non-text attachment was scrubbed...<br>

> Name: charon_debug.log<br>

> Type: application/octet-stream<br>

> Size: 28985 bytes<br>

> Desc: not available<br>

> URL: <<br>

> <a href="http://lists.strongswan.org/pipermail/users/attachments/20210309/4c35ad50/attachment.obj">

http://lists.strongswan.org/pipermail/users/attachments/20210309/4c35ad50/attachment.obj</a><br>

> ><br>

><br>

><br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="http://lists.strongswan.org/pipermail/users/attachments/20210309/0ace289c/attachment.html">http://lists.strongswan.org/pipermail/users/attachments/20210309/0ace289c/attachment.html</a>><br>

<br>

End of Users Digest, Vol 134, Issue 7<br>

*************************************<br>

</div>

</span></font></div>

</div>

</body>

</html>