<div dir="ltr">Hello Paul,<div><br></div><div>Thanks a lot for your detailed response - well received.</div><div><br></div><div>Regards,</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Apr 29, 2018 at 5:15 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Sun, 29 Apr 2018, Sceekar O. wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
However, I received a Form from a site I want to connect to, to provide Phase 1 and Phase 2 parameters for my VPN<br>
setup; and I'm not sure what the right values are.<br>
<br>
If you can help me fill in the right parameters for each  " ? " in the form below, I would be most grateful.<br>
</blockquote>
<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
   ISAKMP SA Authentication Method<br>
pre-shared<br>
</blockquote>
<br></span>
authby=secret<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
 ?<br>
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA Key<br>
To be shared<br>
 ?<br>
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA Hash Algorithm<br>
SHA<br>
 ?<br>
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA Encryption Algorithm<br>
3DES<br>
 ?<br>
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA Diffie-Hellman Group<br>
2<br>
 ?<br>
</blockquote>
<br></span>
based on these obsoleted ancient unwise parameters, I assume this is<br>
ikev2=never<br>
<br>
ike=3des-sha1;modp1024<br>
<br>
However, note that Diffie-Hellman Group 2 is OBSOLETE and has been<br>
changed to MUST NOT be implemented in RFC-8247. At the moment, this<br>
DH group is removed from the default but still allowed to be configured.<br>
But very soon this will be removed as it is simply too weak, and your<br>
VPN might break on a libreswan update next year.<br>
<br>
version of libreswan it might no longer be possible to<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA Life Duration<br>
28800<br>
 ?<br>
</blockquote>
<br></span>
not negotiated, no option needed.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA Vendor-ID<br>
disable<br>
 ?<br>
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA IKE KeepAlive<br>
disable<br>
 ?<br>
</blockquote>
<br></span>
same<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Phase 1  IPSEC Tunnel<br>
   ISAKMP SA IKE DPD KeepAlive<br>
disable<br>
 ?<br>
Phase 1  IPSEC Tunnel<br>
</blockquote>
<br></span>
unwise but means no config option needed.<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
   IPSec SA<br>
<br>
   IPSec SA – IPSEC Protocol<br>
ESP<br>
 ?<br>
Phase 2  IPSEC Tunnel<br>
   IPSec SA – Mode<br>
tunnel<br>
 ?<br>
Phase 2  IPSEC Tunnel<br>
   IPSec SA – Hash Algorithm<br>
SHA<br>
 ?<br>
Phase 2  IPSEC Tunnel<br>
   IPSec SA – Encryption Algorithm<br>
3DES<br>
 ?<br>
</blockquote>
<br></span>
esp=3des-sha1<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Phase 2  IPSEC Tunnel<br>
   IPSec SA – Life Type<br>
3600<br>
 ?<br>
Phase 2  IPSEC Tunnel<br>
   IPSec SA – PFS<br>
enable<br>
</blockquote>
<br></span>
pfs=yes<span class=""><br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
 ?<br>
Phase 2  IPSEC Tunnel<br>
   IPSec SA – PFS D-H Group<br>
group2<br>
 ?<br>
Phase 2  IPSEC Tunnel<br>
   IPSec SA – Compression LZS<br>
disable<br>
 ?<br>
</blockquote>
<br></span>
ipcomp=no (but that is the default already)<br>
<br>
<br>
Your partner side needs to update their 90s crypto to the standards of<br>
today.<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div>