<div dir="ltr"><font face="monospace, monospace">Hello everyone,<br><br>I'm currently running OpenSwan 2.6.29 since 2010 to connect to a bank.<br>It has been running for 9 years in a row.<br>First 3 years in a Debian box and 6 years in Fedora 13. Just COPIED/PASTED from Debian to Fedora and worked.<br><br>But I need some others features in the operating system that Fedora 13 doesn't have. I've decided to replace it with CentOS 7.5.<br>I discovered that CentOS doesn't have OpenSwan. Just LIBRESWAN and STRONGSWAN.<br><br>The main issue is I don't have KNOWLEDGE about IPSEC. This machine has been running IPSec using a configuration file (ipsec.conf/ipsec.secrets) SUPPLIED by the bank. So, if I got some errors about auth, netkey, pfs, ike, quick mode, main mode, phase 1/2. etc I won't be able to fix it.<br><br>Having only LIBRESWAN and STRONGSWAN at CentOS 7.5, I tried first LIBRESWAN, specting not having compatibility problems migrating from OpenSwan to LIBRESWAN.<br><br>But it not what I got.<br><br>Let's start with a baseline...<br><br>IPSEC.CONF:<br>========================================================================================<br># /etc/ipsec.conf - Openswan IPsec configuration file<br>#<br># Manual:     ipsec.conf.5<br>#<br># Please place your own config files in /etc/ipsec.d/ ending in .conf<br><br>version 2.0     # conforms to second version of ipsec.conf specification<br><br># basic configuration<br>#config setup<br>#       # Debug-logging controls:  "none" for (almost) none, "all" for lots.<br>#       # klipsdebug=none<br>#       # plutodebug="control parsing"<br>#       # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey<br>#       protostack=netkey<br>#       nat_traversal=yes<br>#       virtual_private=<br>#       oe=off<br>#       # Enable this if you see "failed to find any available worker"<br>#       nhelpers=0<br><br>#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.<br>#include /etc/ipsec.d/*.conf<br><br>conn block<br>        auto=ignore<br>conn private<br>        auto=ignore<br>conn private-or-clear<br>        auto=ignore<br>conn clear-or-private<br>        auto=ignore<br>conn clear<br>        auto=ignore<br>conn packetdefault<br>        auto=ignore<br><br>config setup<br>        #klipsdebug=all<br>        #plutodebug="control parsing"<br>        nat_traversal=yes<br>        protostack=netkey<br>        virtual_private=<br>        oe=off<br>        nhelpers=0<br>        #forceencaps=yes<br>        interfaces=%defaultroute<br>        force_keepalive=yes<br>        keep_alive=2<br><br>conn vpnbank<br>        type=tunnel<br>        left=192.168.1.16<br>        leftsubnet=<a href="http://192.168.1.0/26">192.168.1.0/26</a><br>        leftnexthop=192.168.1.100<br>        right=222.222.222.222<br>        rightsubnet=<a href="http://111.111.111.111/32">111.111.111.111/32</a><br>        rightnexthop=192.168.1.100<br>        keyexchange=ike<br>        auto=start<br>        authby=secret<br>        pfs=no<br>        compress=no<br>        auth=esp<br>        keylife=1440m<br>        ikelifetime=3600s<br>========================================================================================<br><br><br>VPN-FEDORA:<br>===========<br># rpm -q openswan<br>openswan-2.6.29-1.fc13.i686<br># uname -srvmpio<br>Linux 2.6.34.6-54.fc13.i686.PAE #1 SMP Sun Sep 5 17:33:43 UTC 2010 i686 i686 i386 GNU/Linux<br><br><br>SNIFFING AT FIREWALL:<br>---------------------<br><br># tshark -i eth1 esp or port 500<br>Running as user "root" and group "root". This could be dangerous.<br>Capturing on eth1<br>  0.000000 192.168.1.16 500 222.222.222.222 500 ISAKMP Identity Protection (Main Mode)<br>  0.013193 222.222.222.222 500 192.168.1.16 500 ISAKMP Identity Protection (Main Mode)<br>  0.016325 192.168.1.16 500 222.222.222.222 500 ISAKMP Identity Protection (Main Mode)<br>  0.028517 222.222.222.222 500 192.168.1.16 500 ISAKMP Identity Protection (Main Mode)<br>[...]<br>  0.046726 192.168.1.16 500 222.222.222.222 500 ISAKMP Quick Mode<br>  0.060917 222.222.222.222 500 192.168.1.16 500 ISAKMP Quick Mode<br>[...]<br>  0.713432 192.168.1.16  222.222.222.222  ESP ESP (SPI=0xcf106f5c)<br>  0.722431 222.222.222.222  192.168.1.16  ESP ESP (SPI=0x48a17e8a)<br>[...]<br><br># service ipsec stop<br>ipsec_setup: Stopping Openswan IPsec...<br><br># service ipsec start<br>/usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled<br>ipsec_setup: Starting Openswan IPsec U2.6.29/K2.6.34.6-54.fc13.i686.PAE...<br>ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled<br><br>/VAR/LOG/MESSAGES:<br>------------------<br>Mar 25 19:16:18 Vm-ipsec-box kernel: NET: Registered protocol family 15<br>Mar 25 19:16:18 Vm-ipsec-box ipsec_setup: Starting Openswan IPsec U2.6.29/K2.6.34.6-54.fc13.i686.PAE...<br>Mar 25 19:16:18 Vm-ipsec-box ipsec_setup: Using NETKEY(XFRM) stack<br>Mar 25 19:16:18 Vm-ipsec-box kernel: padlock: VIA PadLock not detected.<br>Mar 25 19:16:18 Vm-ipsec-box kernel: padlock: VIA PadLock Hash Engine not detected.<br>Mar 25 19:16:18 Vm-ipsec-box kernel: padlock: VIA PadLock not detected.<br>Mar 25 19:16:18 Vm-ipsec-box ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled<br>Mar 25 19:16:18 Vm-ipsec-box ipsec_setup: ...Openswan IPsec started<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: adjusting ipsec.d to /etc/ipsec.d<br>Mar 25 19:16:18 Vm-ipsec-box pluto: adjusting ipsec.d to /etc/ipsec.d<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: 002 added connection description "vpnbank"<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: 003 NAT-Traversal: Trying new style NAT-T<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: 003 NAT-Traversal: ESPINUDP(1) setup failed for new style NAT-T family IPv4 (errno=19)<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: 003 NAT-Traversal: Trying old style NAT-T<br>Mar 25 19:16:18 Vm-ipsec-box ipsec__plutorun: 104 "vpnbank" #1: STATE_MAIN_I1: initiate<br><br><br>PARTIAL PS -AXF:<br>----------------<br>31571 pts/1    S      0:00 /bin/sh /usr/libexec/ipsec/_plutorun --debug  --uniqueids yes --force_busy no --nocrsend no --strictcrlpolicy no --nat_traversal yes --keep_alive 2 --protostack netkey --force_keepalive yes --disable_port_floating no --virtual_private oe=o<br>31575 pts/1    S      0:00  \_ /bin/sh /usr/libexec/ipsec/_plutorun --debug  --uniqueids yes --force_busy no --nocrsend no --strictcrlpolicy no --nat_traversal yes --keep_alive 2 --protostack netkey --force_keepalive yes --disable_port_floating no --virtual_private<br>31578 pts/1    S      0:00  |   \_ /usr/libexec/ipsec/pluto --nofork --secretsfile /etc/ipsec.secrets --ipsecdir /etc/ipsec.d --use-netkey --uniqueids --nat_traversal --keep_alive 2 --force_keepalive --virtual_private oe=off --nhelpers 0<br>31605 pts/1    S      0:00  |       \_ _pluto_adns<br>31576 pts/1    S      0:00  \_ /bin/sh /usr/libexec/ipsec/_plutoload --wait no --post<br>31572 pts/1    S      0:00 logger -s -p daemon.error -t ipsec__plutorun<br><br><br>LIBRESWAN at CENTOS 7.5:<br>========================<br><br>Copied IPSEC.CONF and IPSEC.SECRETS into /ETC/IPSEC.D/.<br><br># rpm -q libreswan<br>libreswan-3.25-4.1.el7_6.x86_64<br><br># uname -srvmpio<br>Linux 3.10.0-862.14.4.el7.x86_64 #1 SMP Wed Sep 26 15:12:11 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux<br><br># service ipsec start<br>Job for ipsec.service failed because the control process exited with error code. See "systemctl status ipsec.service" and "journalctl -xe" for details.<br><br>/VAR/LOG/MESSAGES:</font><div><font face="monospace, monospace">------------------<br>Apr  2 00:04:18 vm-ipsec-new systemd: Starting Internet Key Exchange (IKE) Protocol Daemon for IPsec...<br>Apr  2 00:04:18 vm-ipsec-new addconn: ERROR: /etc/ipsec.d/ipsec.conf: 66: keyword auth, invalid value: esp<br>Apr  2 00:04:18 vm-ipsec-new systemd: ipsec.service: control process exited, code=exited status=1<br>Apr  2 00:04:18 vm-ipsec-new systemd: Failed to start Internet Key Exchange (IKE) Protocol Daemon for IPsec.<br>Apr  2 00:04:18 vm-ipsec-new systemd: Unit ipsec.service entered failed state.<br>Apr  2 00:04:18 vm-ipsec-new systemd: ipsec.service failed.<br>Apr  2 00:04:18 vm-ipsec-new systemd: ipsec.service holdoff time over, scheduling restart.<br>[...repeated 5 times...]<br><br>I tried to comment #auth=esp ...<br><br># service ipsec start<br>Job for ipsec.service failed because the control process exited with error code. See "systemctl status ipsec.service" and "journalctl -xe" for details.<br><br>/VAR/LOG/MESSAGES:</font></div><div><font face="monospace, monospace">------------------<br>Apr  2 00:10:00 vm-ipsec-new systemd: Starting Internet Key Exchange (IKE) Protocol Daemon for IPsec...<br>Apr  2 00:10:00 vm-ipsec-new addconn: cannot load config '/etc/ipsec.conf': /etc/ipsec.d/ipsec.conf:8: syntax error, unexpected VERSION, expecting $end [version]<br>Apr  2 00:10:00 vm-ipsec-new systemd: ipsec.service: control process exited, code=exited status=3<br>Apr  2 00:10:00 vm-ipsec-new systemd: Failed to start Internet Key Exchange (IKE) Protocol Daemon for IPsec.<br>Apr  2 00:10:00 vm-ipsec-new systemd: Unit ipsec.service entered failed state.<br>Apr  2 00:10:00 vm-ipsec-new systemd: ipsec.service failed.<br>Apr  2 00:10:00 vm-ipsec-new systemd: ipsec.service holdoff time over, scheduling restart.<br><br>From here I don't know to proceed...<br>Could anyone point me some directions how to fix/adapt my configuration (or LibreSwan cfg) to make compatible with LIBRESWAN at CentOS 7.5 ?<br><br>Thanks in advance<br>--Guilsson</font></div></div>