<div dir="ltr"><div><div><div><div>Probably I should have laid out my whole issue, but like I said I was trying to keep it simple. Let me further complicate things - in all my other tunnels I have used ike, not ikev2. I often need to connect to multiple addresses on the remote side, and generally just make a new connection for each address. Mostly I'm connecting to Cisco endpoints. That has always worked fine in the past.<br><br></div>With this connection there are actually two tunnel configurations to the same endpoint. I have figured out that when one connection is restarted, it kills the other one. (It took me a while to figure this out because for one I can ping the remote side and have a script monitoring it, but the other one doesn't respond to pings so it's not ever being automatically restarted.) Since figuring this out I have tried to simply change the configuration so that I can just use one configuration, but if I change the "rightsubnet=<a href="http://123.45.67.198/255">123.45.67.198/255</a><wbr>.255.255.255" entry to "rightsubnet=<a href="http://123.45.67.198/255">123.45.67.198/255</a><wbr>.255.255.224" and try to connect I get yet another error:<br><br>134 "demo" #19333: STATE_PARENT_I2: sent v2I2, expected v2R2 {auth=IKEv2 cipher=aes_128 integ=sha1_96 prf=sha group=MODP2048}<br>003 "demo" #19333: missing payload(s) (ISAKMP_NEXT_v2SA+ISAKMP_NEXT_v2TSi+ISAKMP_NEXT_v2TSr). Message dropped.<br>207 "demo" #19333: STATE_PARENT_I2: v2N_INVALID_SYNTAX<br><br></div>Do you think that the other side will need to change their configuration to support this or am I just doing something really stupid? Is any of this tied to IKEv2? If it would help I'd try going back to IKE if I can get the other end to agree.<br><br></div>Thanks!<br></div>Bananas<br><div><div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 21, 2016 at 1:10 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, 21 Oct 2016, Banana Man wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I didn't want to confuse things, but I'm actually using a NAT with this tunnel (as well as<br>
several others on this machine). So left= is a different value (my machine's real IP) than<br>
leftsubnet= and leftsourceip=, which are the NAT address. So I think I need to set both of<br>
those. I have always used 255.255.255.255 in the subnet settings to restrict to the single<br>
IP, is this not advisable? I only want access to the machine I'm starting the tunnel on,<br>
not the whole subnet.<br>
</blockquote>
<br></span>
Ok, if leftsubnet is an IP different from left that is fine. That did<br>
not show in your posted config. If you are behind NAT, ensure you have<br>
the shorter ikelifetime= so you are always the end rekeying first.<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div>