
<div dir="ltr"><div>Hi Nick, what do you mean,</div><div><br></div><div>can you please explain..</div><div><br></div><div>is this finally so difficult to be done?? crazy!!</div><div><br></div><div>what i need to do just to have the route UP after connection ?</div><div><br></div><div>many thanks</div><br><div class="gmail_quote"><div dir="ltr">On Fri, Jan 11, 2019 at 3:00 PM <<a href="mailto:swan-request@lists.libreswan.org">swan-request@lists.libreswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Send Swan mailing list submissions to<br>

        <a href="mailto:swan@lists.libreswan.org" target="_blank">swan@lists.libreswan.org</a><br>

<br>

To subscribe or unsubscribe via the World Wide Web, visit<br>

        <a href="https://lists.libreswan.org/mailman/listinfo/swan" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan</a><br>

or, via email, send a message with subject or body 'help' to<br>

        <a href="mailto:swan-request@lists.libreswan.org" target="_blank">swan-request@lists.libreswan.org</a><br>

<br>

You can reach the person managing the list at<br>

        <a href="mailto:swan-owner@lists.libreswan.org" target="_blank">swan-owner@lists.libreswan.org</a><br>

<br>

When replying, please edit your Subject line so it is more specific<br>

than "Re: Contents of Swan digest..."<br>

<br>

<br>

Today's Topics:<br>

<br>

   1. Re: Help!! (Paul Wouters)<br>

   2. Re: Help!! (Antonios Katsouros)<br>

   3. Re: Help!! (Nick Howitt)<br>

   4. Re: Libreswan 3.27 segfault (csszep)<br>

<br>

<br>

----------------------------------------------------------------------<br>

<br>

Message: 1<br>

Date: Thu, 10 Jan 2019 10:09:54 -0500 (EST)<br>

From: Paul Wouters <<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>><br>

To: Antonios Katsouros <<a href="mailto:akatsourossony@gmail.com" target="_blank">akatsourossony@gmail.com</a>><br>

Cc: <a href="mailto:swan@lists.libreswan.org" target="_blank">swan@lists.libreswan.org</a><br>

Subject: Re: [Swan] Help!!<br>

Message-ID: <<a href="mailto:alpine.LRH.2.21.1901101008580.22400@bofh.nohats.ca" target="_blank">alpine.LRH.2.21.1901101008580.22400@bofh.nohats.ca</a>><br>

Content-Type: text/plain; charset=US-ASCII; format=flowed<br>

<br>

On Thu, 10 Jan 2019, Antonios Katsouros wrote:<br>

<br>

Another solution people use is to add:<br>

<br>

        leftupdown="ipsec _updown.netkey --route yes"<br>

<br>

(if left is your server side)<br>

<br>

That forces updown to automatically add the route.<br>

<br>

Paul<br>

<br>

<br>

<br>

------------------------------<br>

<br>

Message: 2<br>

Date: Thu, 10 Jan 2019 19:31:42 +0300<br>

From: Antonios Katsouros <<a href="mailto:akatsourossony@gmail.com" target="_blank">akatsourossony@gmail.com</a>><br>

To: <a href="mailto:swan@lists.libreswan.org" target="_blank">swan@lists.libreswan.org</a><br>

Subject: Re: [Swan] Help!!<br>

Message-ID:<br>

        <<a href="mailto:CAPOZpErV9aNp1DFuPWntiAFESR3FNqwz6EFyDQg8%2BbaW1EOErw@mail.gmail.com" target="_blank">CAPOZpErV9aNp1DFuPWntiAFESR3FNqwz6EFyDQg8+baW1EOErw@mail.gmail.com</a>><br>

Content-Type: text/plain; charset="utf-8"<br>

<br>

yes its there!!!<br>

<br>

this is<br>

<br>

root@srv1:~# cat /etc/ipsec.conf<br>

version 2.0<br>

<br>

config setup<br>

  virtual-private=%v4:<br>

<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.50.0.0/24,%v4:!10.50.1.0/24" rel="noreferrer" target="_blank">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.50.0.0/24,%v4:!10.50.1.0/24</a><br>

  protostack=netkey<br>

  interfaces=%defaultroute<br>

  uniqueids=no<br>

<br>

conn shared<br>

  left=%defaultroute<br>

  leftid=195.95.65.10<br>

  right=%any<br>

  encapsulation=yes<br>

  authby=secret<br>

  pfs=no<br>

  rekey=no<br>

  keyingtries=5<br>

  dpddelay=30<br>

  dpdtimeout=120<br>

  dpdaction=clear<br>

<br>

ike=aes256-sha2,aes128-sha2,aes256-sha1,aes128-sha1,aes256-sha2;modp1024,aes128-sha1;modp1024<br>

<br>

phase2alg=aes_gcm-null,aes128-sha1,aes256-sha1,aes256-sha2_512,aes128-sha2,aes256-sha2<br>

  sha2-truncbug=yes<br>

<br>

conn l2tp-psk<br>

  auto=add<br>

  leftprotoport=17/1701<br>

  rightprotoport=17/%any<br>

  type=transport<br>

  phase2=esp<br>

  also=shared<br>

<br>

conn xauth-psk<br>

  auto=add<br>

  leftsubnet=<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>

  *rightaddresspool=10.50.1.2-10.50.1.3   (by the way is there a way to<br>

give a static in the other side??? i dont want pool)..*<br>

  modecfgdns="8.8.8.8 8.8.4.4"<br>

  leftxauthserver=yes<br>

  rightxauthclient=yes<br>

  leftmodecfgserver=yes<br>

  rightmodecfgclient=yes<br>

  modecfgpull=yes<br>

  xauthby=file<br>

  ike-frag=yes<br>

  ikev2=never<br>

  cisco-unity=yes<br>

  also=shared<br>

root@srv1:~#<br>

<br>

<br>

Many thanks!!!<br>

<br>

<br>

<br>

On Thu, Jan 10, 2019 at 7:23 PM Paul Wouters <<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>> wrote:<br>

<br>

> On Thu, 10 Jan 2019, Antonios Katsouros wrote:<br>

><br>

> > root@srv1:/etc/ipsec.d# ls<br>

> > cert9.db  key4.db  passwd  pkcs11.txt  policies<br>

><br>

> check /etc/ipsec.conf<br>

><br>

> Paul<br>

><br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="https://lists.libreswan.org/pipermail/swan/attachments/20190110/8952eed1/attachment-0001.html" rel="noreferrer" target="_blank">https://lists.libreswan.org/pipermail/swan/attachments/20190110/8952eed1/attachment-0001.html</a>><br>

<br>

------------------------------<br>

<br>

Message: 3<br>

Date: Thu, 10 Jan 2019 16:34:36 +0000<br>

From: Nick Howitt <<a href="mailto:nick@howitts.co.uk" target="_blank">nick@howitts.co.uk</a>><br>

To: <a href="mailto:swan@lists.libreswan.org" target="_blank">swan@lists.libreswan.org</a><br>

Subject: Re: [Swan] Help!!<br>

Message-ID: <<a href="mailto:c7b20dbc-a6aa-9adf-43cc-46b137e2f70b@howitts.co.uk" target="_blank">c7b20dbc-a6aa-9adf-43cc-46b137e2f70b@howitts.co.uk</a>><br>

Content-Type: text/plain; charset=utf-8; format=flowed<br>

<br>

Are you trying to do a LAN-LAN connection? If so you don't want anything <br>

to do with l2tp or xauth. Have a look at the examples I linked you to <br>

earlier on the libreswan web site. What you have here is for roadwarriors.<br>

<br>

NIck<br>

<br>

On 10/01/2019 16:31, Antonios Katsouros wrote:<br>

> yes its there!!!<br>

><br>

> this is<br>

><br>

> root@srv1:~# cat /etc/ipsec.conf<br>

> version 2.0<br>

><br>

> config setup<br>

> ? <br>

> virtual-private=%v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.50.0.0/24,%v4:!10.50.1.0/24" rel="noreferrer" target="_blank">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.50.0.0/24,%v4:!10.50.1.0/24</a> <br>

> <<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.50.0.0/24,%v4:!10.50.1.0/24" rel="noreferrer" target="_blank">http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.50.0.0/24,%v4:!10.50.1.0/24</a>><br>

> ? protostack=netkey<br>

> ? interfaces=%defaultroute<br>

> ? uniqueids=no<br>

><br>

> conn shared<br>

> ? left=%defaultroute<br>

> ? leftid=195.95.65.10<br>

> ? right=%any<br>

> ? encapsulation=yes<br>

> ? authby=secret<br>

> ? pfs=no<br>

> ? rekey=no<br>

> ? keyingtries=5<br>

> ? dpddelay=30<br>

> ? dpdtimeout=120<br>

> ? dpdaction=clear<br>

> ike=aes256-sha2,aes128-sha2,aes256-sha1,aes128-sha1,aes256-sha2;modp1024,aes128-sha1;modp1024<br>

> phase2alg=aes_gcm-null,aes128-sha1,aes256-sha1,aes256-sha2_512,aes128-sha2,aes256-sha2<br>

> ? sha2-truncbug=yes<br>

><br>

> conn l2tp-psk<br>

> ? auto=add<br>

> ? leftprotoport=17/1701<br>

> ? rightprotoport=17/%any<br>

> ? type=transport<br>

> ? phase2=esp<br>

> ? also=shared<br>

><br>

> conn xauth-psk<br>

> ? auto=add<br>

> ? leftsubnet=<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">http://0.0.0.0/0</a>><br>

> *rightaddresspool=10.50.1.2-10.50.1.3? ?(by the way is there a way to <br>

> give a static in the other side??? i dont want pool)..*<br>

> ? modecfgdns="8.8.8.8 8.8.4.4"<br>

> ? leftxauthserver=yes<br>

> ? rightxauthclient=yes<br>

> ? leftmodecfgserver=yes<br>

> ? rightmodecfgclient=yes<br>

> ? modecfgpull=yes<br>

> ? xauthby=file<br>

> ? ike-frag=yes<br>

> ? ikev2=never<br>

> ? cisco-unity=yes<br>

> ? also=shared<br>

> root@srv1:~#<br>

><br>

><br>

> Many thanks!!!<br>

><br>

><br>

><br>

> On Thu, Jan 10, 2019 at 7:23 PM Paul Wouters <<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a> <br>

> <mailto:<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>>> wrote:<br>

><br>

>     On Thu, 10 Jan 2019, Antonios Katsouros wrote:<br>

><br>

>     > root@srv1:/etc/ipsec.d# ls<br>

>     > cert9.db? key4.db? passwd? pkcs11.txt? policies<br>

><br>

>     check /etc/ipsec.conf<br>

><br>

>     Paul<br>

><br>

><br>

> _______________________________________________<br>

> Swan mailing list<br>

> <a href="mailto:Swan@lists.libreswan.org" target="_blank">Swan@lists.libreswan.org</a><br>

> <a href="https://lists.libreswan.org/mailman/listinfo/swan" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan</a><br>

<br>

<br>

<br>

------------------------------<br>

<br>

Message: 4<br>

Date: Fri, 11 Jan 2019 10:56:45 +0100<br>

From: csszep <<a href="mailto:csszep@gmail.com" target="_blank">csszep@gmail.com</a>><br>

To: Paul Wouters <<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>><br>

Cc: <a href="mailto:swan@lists.libreswan.org" target="_blank">swan@lists.libreswan.org</a><br>

Subject: Re: [Swan] Libreswan 3.27 segfault<br>

Message-ID:<br>

        <CADobNNJQNUAsV16Ny3Txqa6Egq7_=<a href="mailto:Mz07mF%2BtXbpPQJQm8O6NA@mail.gmail.com" target="_blank">Mz07mF+tXbpPQJQm8O6NA@mail.gmail.com</a>><br>

Content-Type: text/plain; charset="utf-8"<br>

<br>

Hi!<br>

<br>

Still crashing with Libreswan master from 10 jan.<br>

<br>

I updating the github issue #169 with new gdb backtrace.<br>

<br>

The RHEL bugzilla enry is not accessible with regular RH account.<br>

<br>

Thx Csszep<br>

<br>

csszep <<a href="mailto:csszep@gmail.com" target="_blank">csszep@gmail.com</a>> ezt ?rta (id?pont: 2018. dec. 4., K, 9:23):<br>

<br>

> Hi Paul!<br>

><br>

> Thx for the Answer. I will try and report. Unfortunately the crash now<br>

> happens ony once or twice a week....<br>

><br>

> Paul Wouters <<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>> ezt ?rta (id?pont: 2018. dec. 3., H, 15:40):<br>

><br>

>> On Thu, 29 Nov 2018, csszep wrote:<br>

>><br>

>> > I have a longstanding problem w libreswan. See github issue #169<br>

>> ><br>

>> > Can anyone help identify the problem?<br>

>> ><br>

>> > The crash happened daily (SA delete? rekey?), and after 4-5 crashes it<br>

>> works again.<br>

>> ><br>

>> > The last few messages, before every  crash:<br>

>> ><br>

>> ><br>

>> > 2018-11-28T10:43:15+01:00 firewall1 pluto[16834]: "customer2" #701:<br>

>> received Delete SA(0xb6ca75dc) payload: deleting IPSEC State #702<br>

>> > 2018-11-28T10:43:15+01:00 firewall1 pluto[16834]: "customer2" #702:<br>

>> deleting other state #702 (STATE_QUICK_R2) and sending notification<br>

>> > 2018-11-28T10:43:15+01:00 firewall1 pluto[16834]: "customer2" #702: ESP<br>

>> traffic information: in=1MB out=248KB<br>

>> > 2018-11-28T10:43:15+01:00 firewall1 pluto[16834]: "customer2 #701:<br>

>> deleting state (STATE_MAIN_R3) and sending notification<br>

>> > 2018-11-28T10:40:23+01:00 firewall1 kernel: traps: pluto[16834] general<br>

>> protection ip:7f71e05e212b sp:7ffcd12c9180 error:0 in<br>

>> pluto[7f71e0587000+154000]<br>

>> ><br>

>> > The connection "customer2" is not the same in every crash, but maybe?<br>

>> all connections that causes the crash come from F5/BIG-IP peer....<br>

>><br>

>> Can you try git master? I think this issue is fixed there. This is when<br>

>> there is a Delete plus an additional notify payload.<br>

>><br>

>> A different backport of the same bug is applied for RHEL via<br>

>> <a href="https://bugzilla.redhat.com/show_bug.cgi?id=1630355" rel="noreferrer" target="_blank">https://bugzilla.redhat.com/show_bug.cgi?id=1630355</a><br>

>><br>

>> Paul<br>

>><br>

><br>

-------------- next part --------------<br>

An HTML attachment was scrubbed...<br>

URL: <<a href="https://lists.libreswan.org/pipermail/swan/attachments/20190111/7e5b1528/attachment-0001.html" rel="noreferrer" target="_blank">https://lists.libreswan.org/pipermail/swan/attachments/20190111/7e5b1528/attachment-0001.html</a>><br>

<br>

------------------------------<br>

<br>

Subject: Digest Footer<br>

<br>

_______________________________________________<br>

Swan mailing list<br>

<a href="mailto:Swan@lists.libreswan.org" target="_blank">Swan@lists.libreswan.org</a><br>

<a href="https://lists.libreswan.org/mailman/listinfo/swan" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan</a><br>

<br>

<br>

------------------------------<br>

<br>

End of Swan Digest, Vol 73, Issue 7<br>

***********************************<br>

</blockquote></div></div>