<div dir="ltr">Thanks Paul for the help and much appreciated.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Jul 9, 2019 at 9:12 AM Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, 9 Jul 2019, Kaushal Shriyan wrote:<br>
<br>
> I am running libreswan version 3.29 on CentOS 7.6 and the details are as below:-<br>
<br>
> I have the below config. <br>
><br>
>        conn apps-tomcat-primary<br>
>               type=tunnel<br>
>               authby=secret<br>
>               left=%defaultroute<br>
>               leftid=128.117.167.12<br>
>               leftnexthop=%defaultroute<br>
>               leftsubnet=<a href="http://128.117.167.12/32" rel="noreferrer" target="_blank">128.117.167.12/32</a><br>
>               right=126.114.94.7<br>
>               rightsubnet=<a href="http://126.114.90.7/32" rel="noreferrer" target="_blank">126.114.90.7/32</a><br>
>               ike=aes128-sha1;modp1024<br>
<br>
Note using DH2 makes no sense. It's too weak. libreswan-3.30 has it<br>
compile time disabled by default.<br>
<br>
>               phase2alg=aes128-sha1;modp1536<br>
<br>
It also makes little sense to have a larger phase2 DH group.<br>
<br>
>               pfs=yes<br>
>               auto=start<br>
>               ikev2=no<br>
> <br>
> <br>
> I will appreciate if you can let me know the suggested cipher suites (encryption and authentication) to be implemented as per the above Libreswan IPsec configuration.<br>
<br>
It will only allow what you specified on the ike= and esp= lines. Only<br>
if you specify nothing in the conn, do you get default ciphers eiter<br>
from conn %default or via the system-wide crypto policies (via conn<br>
%default).<br>
<br>
So your ike= line will only allow AES 128 bit key, SHA1 for PRF and<br>
INTEG, using DH2. Your esp=/phase2alg- line only allows AES 128 bit key,<br>
SHA1 for INTEG and DH5 Quickmode/PFS.<br>
<br>
Paul<br>
</blockquote></div>