<div dir="ltr"><div>Hi<br></div><div><br></div>I'm trying to use opportunistic encryption with 3.15 (available in CentOS 6 repos), but running in to the following error (at least I think this is my error):<br><div><br>Jun  7 09:29:35: | initiate on demand using RSASIG from 10.1.156.25 to 10.1.156.27 new state: fos_start<br>Jun  7 09:29:35: Can not opportunistically initiate for 10.1.156.25 to <a href="http://10.1.156.27">10.1.156.27</a>: can only query DNS for key for ID that is a FQDN, IPV4_ADDR, or IPV6_ADDR<br>Jun  7 09:29:35: | cannot_oppo() detected packet triggered shunt from bundle<br>Jun  7 09:29:35: | fiddle_bare_shunt called<br>Jun  7 09:29:35: | fiddle_bare_shunt with transport_proto 17<br>Jun  7 09:29:35: | replacing specific host-to-host bare shunt<br>Jun  7 09:29:35: | can only query DNS for key for ID that is a FQDN, IPV4_ADDR, or IPV6_ADDR eroute <a href="http://10.1.156.25/32:43404">10.1.156.25/32:43404</a> --17-> <a href="http://10.1.156.27/32:1025">10.1.156.27/32:1025</a> => %hold>%drop (raw_eroute)<br><br></div><div>I'm only working with "private" connections currently. My configuration stanza is:<br><br>conn private<br>        # IPsec mandatory<br>        right=%opportunisticgroup<br>        rightid=%fromcert<br>        rightrsasigkey=%cert<br>        rightca=%same<br>        #rightauth=rsasig<br>        left=%defaultroute<br>        #leftid=%fromcert<br>        leftrsasigkey=%cert<br>        leftcert=test-west1<br>        #leftcert=/etc/ipsec.d/test-west1.pem<br>        narrowing=yes<br>        type=tunnel<br>        ikev2=insist<br>        auto=route<br>        # tune remaining options to taste - fail fast to prevent packet loss to the app<br>        negotiationshunt=hold<br>        failureshunt=drop<br>        # 0 means infinite tries<br>        keyingtries=0<br>        retransmit-timeout=3s<br><br></div><div>My ipsec.conf file is right out of the box.<br><br></div><div>My secrets file contains:<br><br>: RSA "test-west1"<br><br></div><div>My policies/private file contains:<br><br>10.1.156.27<br><br></div><div>For my certificate, and initial setup, I followed the instructions here:<br><br><a href="https://libreswan.org/wiki/HOWTO:_Opportunistic_IPsec">https://libreswan.org/wiki/HOWTO:_Opportunistic_IPsec</a><br><br></div><div>As far as I know, my configuration should eliminate the need to query DNS for a key. I've been fiddling with the configuration since, but to no avail. Both hosts are configured similarly, but the connection fails before any packets are sent to the remote host, so my issue must be local.<br><br>I'm hoping someone here can help me get pointed in the right direction.<br><br></div><div>Thanks<br></div></div>