<div dir="ltr"><div>Paul,</div><div><br></div><div>Thanks for your reply. I didn't realize both sides couldn't have the same ID. I managed to work around the problem by being very specific with "right" setting on the east side of the connection (single IP /32).</div><div><br></div><div>Matt<br></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Sep 12, 2018 at 2:24 PM Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 12 Sep 2018, Matthew Johnson wrote:<br>
<br>
> I have two connection on east.<br>
> <br>
> conn test#<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
>         type=transport<br>
>         authby=null<br>
>         leftid=@mesh<br>
>         rightid=@mesh<br>
<br>
Both sides cannot have the same ID.<br>
<br>
>         left=%defaultroute<br>
>         right=0.0.0.0<br>
<br>
0.0.0.0 is %any, I would write it as %any<br>
<br>
> When the connection is initiated by west, it matches test#<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> on east, which is not what I<br>
> would expect. I would have thought the mismatched left/right IDs would have caused the system to<br>
> find a better match - conman-pool-server. Am I missing something here?<br>
<br>
Are you sure? The initial IKE_INIT exchange of packets can match on any<br>
connection where %any is in use. It will be refined on the second packet<br>
exchange(IKE_AUTH) and it can then "switch" connection.<br>
<br>
But regardless, the test connection is wrongly using the same ID for<br>
both ends of the connection.<br>
<br>
Paul<br>
</blockquote></div>