<div dir="ltr"><div dir="ltr"><div>I have an IPSec tunnel configured with a third party that has informed me they require a config change this week and it's been nearly a year since I last touched this so I'm knocking the rust off my Libreswan-Fu.  Below are the original specs from the third party and the current tunnel config that is working as well as the new specs.  Can someone give some guidance what changes I need to make on the new config?  PFS=yes seems obvious and I assume ike and phase2alg values need to change some guidance would be super helpful.</div><div><br></div><div><div>Orig Specs<br></div><div>Support Key Exchanged for Subnets: ON </div><div>IKE Encryption MethoId: AES256 SHA</div><div>IKE Diffie-Hellman Groups for Phase 1: Group 2 (1024 bit)</div><div>IKE (Phase-1) Timeout: 1440 Min</div><div><br></div><div>IPSEC Encryption Method: AES256 SHA</div><div>IPSEC (Phase-2) Timeout: 3600 Sec</div><div>PFS (Perfect Forward Secrecy): Disabled</div><div>Keepalive: Disabled</div><div><br></div><div>Orig IPsec.conf<br></div><div>conn 1</div><div>  type=tunnel</div><div>  authby=secret</div><div>  initial-contact=yes</div><div>  encapsulation=yes</div><div>  rekey=yes</div><div>  auto=start</div><div>  pfs=no</div><div>  ikelifetime=1440m</div><div>  salifetime=60m</div><div>  ike=aes256-sha1;dh2</div><div>  phase2alg=aes256-sha1;modp1024</div><div>  aggrmode=no</div><div>  left=%defaultroute</div><div><br></div><div>New Specs:<br></div><div>IKE Version:IKEv2</div><div>Phase - 1 Parameters<br></div><div><span style="white-space:pre">     </span>Encryption Algorithm: AES-GCM-256</div><div><span style="white-space:pre">     </span>Integrity algorithm: Null</div><div><span style="white-space:pre">     </span>Diffie-Hellman group: Group 24</div><div><span style="white-space:pre">        </span>Phase-1 lifetime (Secs/KB): 86400 sec</div><div><br></div><div>Phase - 2 Parameters</div><div><span style="white-space:pre">     </span>Encryption & Integrity algorithm: ESP-GCM-256</div><div><span style="white-space:pre">     </span>Integrity algorithm: Null</div><div><span style="white-space:pre">     </span>PFS: Yes</div><div><span style="white-space:pre">      </span>Diffie-Hellman group (IF PFS = Yes):Group 24</div><div><span style="white-space:pre">  </span>Phase-2 Lifetime (Secs/KB): 3600 sec</div><div><br></div><div>New IPsec.conf<br></div><div>conn 1</div><div>  type=tunnel</div><div>  authby=secret</div><div>  initial-contact=yes</div><div>  encapsulation=yes</div><div>  rekey=yes</div><div>  auto=start</div><div>  pfs=yes</div><div>  ikelifetime=1440m</div><div>  salifetime=60m</div><div>  ike=??</div><div>  phase2alg=??</div><div>  aggrmode=no</div><div>  left=%defaultroute</div></div></div></div>