<p dir="ltr">On 8 Jun 2016 8:52 p.m., "Paul Wouters" <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br>
><br>
> On Thu, 2 Jun 2016, Daniel J Blueman wrote:<br>
><br>
>> Using the current libreswan release in the core CentOS 6 repo<br>
>> (libreswan-3.15-5.3) with a road-warrior configuration [1] with a<br>
>> Windows 10 client and cert auth, I'm seeing libreswan reply to the<br>
>> initial IKEv2 setup packets on port 500, rather than the correct<br>
>> source port, needed to pass through routers; we see:<br>
>><br>
>> 19:45:16.061582 IP 66.96.193.199.1024 > 195.119.250.13.500: isakmp:<br>
>> parent_sa ikev2_init[I]<br>
>> 19:45:16.071924 IP 195.119.250.13.500 > 66.96.193.199.500: isakmp:<br>
>> parent_sa ikev2_init[R]<br>
><br>
><br>
> That should not happen. It is clearly a bug.<br>
><br>
><br>
>> This issue occurs on libreswan 3.17 also, so I traced back the<br>
>> incorrect remote port number to the connection lookup code, clearly<br>
>> the right section in the debug logs [2]. Rewriting the port number [3]<br>
>> fixes the behaviour.<br>
><br>
><br>
> If we are not switching connections, it should not have the wrong port.<br>
> But since this is IKE_INIT, I would not expect it to switch connections<br>
> at all.<br>
><br>
> I'm looking into issue.</p>
<p dir="ltr">Thanks for taking a look!</p>
<p dir="ltr">I can test out any changes as and when.</p>
<p dir="ltr">Dan</p>