<div dir="ltr"><div class="gmail_default" style="font-family:monospace,monospace">Hello team,</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">I suspect there is a race condition related to negotiation (and there may be a simple workaround).</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">I am using LibreSwan 3.16, and I've created a simple IPSec tunnel between two nano machines in AWS, one in Ireland, and the other is in Frankfurt. The only complexity is that these connections use lots of left and right subnets, causing the creation of many SAs.</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">What happen is that pluto gets stuck completely. Executing anything like ipsec auto --status, would just hang.</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">The workaround:</div><div class="gmail_default" style="font-family:monospace,monospace">===============</div><div class="gmail_default" style="font-family:monospace,monospace">Add to /etc/ipsec.conf</div><div class="gmail_default" style="font-family:monospace,monospace">    nhelpers=0 </div><div class="gmail_default" style="font-family:monospace,monospace">Although I am not 100% sure this resolves the problem in all cases.</div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Here is an example of the configuration files with the problem:</div><div class="gmail_default" style="font-family:monospace,monospace">---------------------------------------------------------------</div><div class="gmail_default"><div class="gmail_default" style="font-family:monospace,monospace">root@ip-172-31-16-203:/home/ubuntu# cat /etc/ipsec.conf</div><div class="gmail_default" style="font-family:monospace,monospace">config setup</div><div class="gmail_default" style="font-family:monospace,monospace">    plutodebug=all</div><div class="gmail_default" style="font-family:monospace,monospace">include /etc/ipsec.d/*.conf</div><div style="font-family:monospace,monospace"><br></div><div><div><font face="monospace, monospace">root@ip-172-31-16-203:/home/ubuntu# cat /etc/ipsec.d/connST1439.conf</font></div><div><font face="monospace, monospace">conn connST1439</font></div><div><span style="font-family:monospace,monospace">    authby=rsasig</span><br></div><div><font face="monospace, monospace">    auto=start</font></div><div><font face="monospace, monospace">    dpdaction=restart</font></div><div><font face="monospace, monospace">    dpddelay=30</font></div><div><font face="monospace, monospace">    dpdtimeout=120</font></div><div><font face="monospace, monospace">    forceencaps=yes</font></div><div><font face="monospace, monospace">    ike=aes128-sha1</font></div><div><font face="monospace, monospace">    ikelifetime=86400s</font></div><div><font face="monospace, monospace">    keyingtries=3</font></div><div><font face="monospace, monospace">    left=%defaultroute</font></div><div><font face="monospace, monospace">    leftid=@<a href="http://54.93.130.169">54.93.130.169</a></font></div><div><font face="monospace, monospace">    leftrsasigkey=0sAQPJ1YxE+mxELI/qyHuIqkoFEUrwgSp2sq5ylvAOwxJtyPt0EBLtXdAPBjBw+ZCA8xl28XDssu+oZ6mKZ6aRVKksBAf69VNyNp8d8PYBs2fACkedXYHhLwvPVeyW3HsT26DqfY0oyesoj4ykaH91HUAjMHyS40dEj9+c+y3HJp7LQKgbp3beBNCKnx9ZKbzg1YXXHGe0REqrQnRIcDvXZ3eohjZtHjsHXuKQaWCukSWwgSlOI2Zer5Ag7c44imxlmNPDozm1IegtHC39qxGbxT5cVrWVF332YmxP6Q+Y8uJOpspxOASUNfxCpiOHqLGZBjHg21UylkFf7SsGSdFvxizDK7EEhcIM2Fa6OGDcplY6bCdD</font></div><div><font face="monospace, monospace">    leftsubnets=<a href="http://10.254.129.0/24,172.31.16.0/20,172.31.42.0/28,172.31.42.112/28,172.31.42.128/28,172.31.42.144/28,172.31.42.16/28,172.31.42.160/28,172.31.42.176/28,172.31.42.192/28,172.31.42.208/28,172.31.42.224/28,172.31.42.240/28,172.31.42.32/28,172.31.42.48/28,172.31.42.64/28,172.31.42.80/28,172.31.42.96/28">10.254.129.0/24,172.31.16.0/20,172.31.42.0/28,172.31.42.112/28,172.31.42.128/28,172.31.42.144/28,172.31.42.16/28,172.31.42.160/28,172.31.42.176/28,172.31.42.192/28,172.31.42.208/28,172.31.42.224/28,172.31.42.240/28,172.31.42.32/28,172.31.42.48/28,172.31.42.64/28,172.31.42.80/28,172.31.42.96/28</a></font></div><div><font face="monospace, monospace">    leftupdown=/usr/fortycloud/libreSwanUpDown.sh</font></div><div><font face="monospace, monospace">    pfs=no</font></div><div><font face="monospace, monospace">    phase2alg=aes128-sha1</font></div><div><font face="monospace, monospace">    right=54.171.1.11</font></div><div><font face="monospace, monospace">    rightid=@<a href="http://54.171.1.11">54.171.1.11</a></font></div><div><font face="monospace, monospace">    rightrsasigkey=0sAQPCXrYVHB4PX47nOXvfiRlHiXZQFqBj6TLEyVH5WzOrJN8xeKiy3/X8Q3Y6hX8aH2MASCsDqvbGXEvA/HfHvFjIaPuzxd7i8cNrsMbCUVAYe7wAl9Duwzq/dPdp6G3WkAFEi0wo8ocAwKanef7Xd7DmldUFjKe96S6Z01TNRQsX3H8+mKQQOcBgNJoj6CniHD5GGSbtibJWEQU4pmeuYSp4YZc5kGnpYWt5sU0F0wVcFRaY71Y9wqe4BiNJi05lnvwq6Z+MN527C18tUbGyfaJuqk2IE4dM8yTp/p6FC8MhNjwZmFZwk4TOVYPX16X6JYQm+ieoKl3Gpc74kpnujJax2lhLdEkVUFRZIJ9plytV9Ow1</font></div><div><font face="monospace, monospace">    rightsubnets=<a href="http://10.10.10.0/24,10.10.42.0/28,10.10.42.112/28,10.10.42.128/28,10.10.42.144/28,10.10.42.16/28,10.10.42.160/28,10.10.42.176/28,10.10.42.192/28,10.10.42.208/28,10.10.42.224/28,10.10.42.240/28,10.10.42.32/28,10.10.42.48/28,10.10.42.64/28,10.10.42.80/28,10.10.42.96/28,10.254.128.0/24">10.10.10.0/24,10.10.42.0/28,10.10.42.112/28,10.10.42.128/28,10.10.42.144/28,10.10.42.16/28,10.10.42.160/28,10.10.42.176/28,10.10.42.192/28,10.10.42.208/28,10.10.42.224/28,10.10.42.240/28,10.10.42.32/28,10.10.42.48/28,10.10.42.64/28,10.10.42.80/28,10.10.42.96/28,10.254.128.0/24</a></font></div><div><font face="monospace, monospace">    salifetime=28800s</font></div><div><font face="monospace, monospace">    type=tunnel</font></div></div><div style="font-family:monospace,monospace"><br></div></div><div class="gmail_default" style="font-family:monospace,monospace"><br></div><div class="gmail_default" style="font-family:monospace,monospace">Here are the last log lines in /var/log/auth.log:</div><div class="gmail_default" style="font-family:monospace,monospace">-------------------------------------------------</div><div class="gmail_default" style="font-family:monospace,monospace"><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | #198 send_crypto_helper_request:613 st->st_calculating = TRUE;</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | state: #198 requesting EVENT_SO_DISCARD to be deleted</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | event_schedule called for 60 seconds</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | event_schedule_tv called for about 60 seconds and change</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | inserting event EVENT_CRYPTO_FAILED, timeout in 60.000000 seconds for #198</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | removing pending policy for "none" {0x7f585a9705e0}</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | unqueuing pending Quick Mode with 54.171.1.11 "connST1439/11x18" import:admin initiate</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | creating state object #199 at 0x7f585a9ee1e0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | parent state #199: new > STATE_UNDEFINED(ignore)</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | duplicating state object #1 as #199</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | #199 quick_outI1:921 st->st_calculating == FALSE;</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | processing connection "connST1439/11x18"</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | child state #199: STATE_UNDEFINED(ignore) > STATE_QUICK_I1(authenticated-ipsec)</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | ignore states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | half-open-ike states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | open-ike states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | established-anonymous-ike states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | established-authenticated-ike states: 1</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | anonymous-ipsec states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | authenticated-ipsec states: 198</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | informational states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | unknown states: 0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | category states: 199 count states: 199</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | inserting state object #199</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | finding hash chain in state hash table</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: |   ICOOKIE:  0e e5 16 96  4e c3 51 d4</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: |   RCOOKIE:  67 1c 39 6d  eb bb 26 d0</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | found hash chain 2</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | list 0x7f5859f49318 first entry 0x7f585a9edf18</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | inserted state 0x7f585a9ee1e0 entry 0x7f585a9ee848 next 0x7f585a9edf18 prev-next 0x7f5859f49318 into list</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | updated next state 0x7f585a9ed8b0 entry 0x7f585a9edf18 next 0x7f585a9ed5e8 prev-next 0x7f585a9ee848</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | finding hash chain in icookie hash table</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: |   ICOOKIE:  0e e5 16 96  4e c3 51 d4</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: |   RCOOKIE:  00 00 00 00  00 00 00 00</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | found hash chain 23</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | list 0x7f5859f49500 first entry 0x7f585a9edf30</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | inserted state 0x7f585a9ee1e0 entry 0x7f585a9ee860 next 0x7f585a9edf30 prev-next 0x7f5859f49500 into list</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | updated next state 0x7f585a9ed8b0 entry 0x7f585a9edf30 next 0x7f585a9ed600 prev-next 0x7f585a9ee860</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | event_schedule called for 0 seconds</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | event_schedule_tv called for about 0 seconds and change</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | inserting event EVENT_SO_DISCARD, timeout in 0.000000 seconds for #199</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | check_kernel_encrypt_alg(12,0): OK</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: "connST1439/11x18" #199: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+UP+IKEV1_ALLOW+IKEV2_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW {using isakmp#1 msgid:d7e131fe proposal=AES(12)_128-SHA1(2)_000 pfsgroup=no-pfs}</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | crypto helper 0: pcw_work: 197</div><div class="gmail_default">Dec 29 14:28:15 ip-172-31-16-203 pluto[2294]: | asking crypto helper 0 to do build nonce; request ID 200 (len=2776, pcw_work=197)</div><div><br></div><div><br></div><div>I would appreciate your thoughts on this issue</div><div><br></div><div>Thanks in advance</div><div><br></div></div><div><div class="gmail-m_7254916670522766384gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div><br></div><div dir="ltr"><div>Noam Singer<span style="font-size:12.8px"> </span></div><div><br></div><span><font color="#888888"></font></span></div></div></div></div></div></div></div></div></div></div></div>
</div>