<html dir="ltr"><head></head><body style="text-align:left; direction:ltr;" bgcolor="#ffffff" text="#2e3436" link="#2a76c6" vlink="#2e3436"><div><font size="4"><br></font></div><div><font size="4">Hi Paul</font></div><div><font size="4">        I made the changes as suggested by you and there's progress, I see the tunnel is getting established now, but no communication is happening between the client and Server. By the way this tunnel I am looking at establishing is between my laptop running CentOS 8 at home and a CentOS 8 gateway at office which as I mentioned earlier has site-to-site VPN established successfully to 4 other locations using Libreswan.  As of now, I am only looking at accessing resources behind this gateway, eventually the intention is to access all those 4 locations the gateway is talking to.</font></div><div><font size="4"><br></font></div><div><font size="4">As of now, the changes and logs look like this</font></div><div><font size="4"><br></font></div><div><b><font size="4">Server side. Replaced Server's public Ip with 1.2.3.4</font></b></div><div><font size="4"><br></font></div><div><font size="4">conn MOBILE</font></div><div><font size="4">     left=1.2.3.4</font></div><div><font size="4">     leftsubnet=192.168.0.0/24</font></div><div><font size="4">        leftcert=europa.abc.com</font></div><div><font size="4">          <a href="mailto:leftid=@europa.abc.com">leftid=@europa.abc.com</a></font></div><div><font size="4">         leftrsasigkey=%cert</font></div><div><font size="4">      leftsendcert=always</font></div><div><font size="4">      right=%any</font></div><div><font size="4">       rightsubnet=0.0.0.0/0</font></div><div><font size="4">            rightca=%same</font></div><div><font size="4">            rightrsasigkey=%cert</font></div><div><font size="4">     auto=add</font></div><div><font size="4">         dpddelay=60</font></div><div><font size="4">      dpdtimeout=300</font></div><div><font size="4">           dpdaction=clear</font></div><div><font size="4">          ikev2=insist</font></div><div><font size="4"> narrowing=yes</font></div><div><font size="4">        fragmentation=yes</font></div><div><font size="4">        type=tunnel</font></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><b><font size="4">Client side</font></b></div><div><font size="4"><br></font></div><div><font size="4">conn EUROPA</font></div><div><font size="4">    left=%defaultroute</font></div><div><font size="4">   leftcert=ceres.xyz.com</font></div><div><font size="4">       leftid=%fromcert</font></div><div><font size="4">     leftrsasigkey=%cert</font></div><div><font size="4">  leftsubnet=10.10.128.0/24</font></div><div><font size="4">    leftmodecfgclient=yes</font></div><div><font size="4">        right=1.2.3.4</font></div><div><font size="4">        rightsubnet=192.168.0.0/24</font></div><div><font size="4">   <a href="mailto:rightid=@europa.abc.com">rightid=@europa.abc.com</a></font></div><div><font size="4">   rightrsasigkey=%cert</font></div><div><font size="4"> ikev2=insist</font></div><div><font size="4"> rekey=yes</font></div><div><font size="4">    fragmentation=yes</font></div><div><font size="4">    narrowing=yes</font></div><div><font size="4">        mobike=yes</font></div><div><font size="4">   auto=add</font></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><b><font size="4">On the client side when an attempt is made.</font></b></div><div><font size="4"><br></font></div><div><font size="4"># ipsec auto --up EUROPA</font></div><div><font size="4">181 "EUROPA"[2] 1.2.3.4 #5: initiating IKEv2 connection</font></div><div><font size="4">181 "EUROPA"[2] 1.2.3.4 #5: sent IKE_SA_INIT request</font></div><div><font size="4">182 "EUROPA"[2] 1.2.3.4 #5: sent IKE_AUTH request {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}</font></div><div><font size="4">002 "EUROPA"[2] 1.2.3.4 #5: certificate verified OK: O=Europa,CN=europa.abc.com</font></div><div><font size="4">002 "EUROPA"[2] 1.2.3.4 #5: IKEv2 mode peer ID is ID_FQDN: <a href="mailto:'@europa.abc.com">'@europa.abc.com</a>'</font></div><div><font size="4">003 "EUROPA"[2] 1.2.3.4 #5: authenticated using RSA with SHA2_512</font></div><div><font size="4">003 "EUROPA"[2] 1.2.3.4 #6: missing v2CP reply, not attempting to setup child SA</font></div><div><font size="4">214 "EUROPA"[2] 1.2.3.4 #6: state transition 'Initiator: process IKE_AUTH response' failed with v2N_NO_PROPOSAL_CHOSEN</font></div><div><font size="4">002 "EUROPA"[2] 1.2.3.4 #6: deleting state (STATE_PARENT_I2) aged 60.09774s and NOT sending notification</font></div><div></div><div></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><b><font size="4">On the Server side, /var/log/pluto.log shows this. Replaced my public IP with 6.7.8.9</font></b></div><div><font size="4"><br></font></div><div><font size="4">Mar 25 20:18:03.398343: "MOBILE"[3] 6.7.8.9: local IKE proposals (IKE SA responder matching remote proposals): </font></div><div><font size="4">Mar 25 20:18:03.398376: "MOBILE"[3] 6.7.8.9:   1:IKE=AES_GCM_C_256-HMAC_SHA2_512+HMAC_SHA2_256-NONE-MODP2048+MODP3072+MODP4096+MODP8192+ECP_256+ECP_384+ECP_521+CURVE25519</font></div><div><font size="4">Mar 25 20:18:03.398381: "MOBILE"[3] 6.7.8.9:   2:IKE=AES_GCM_C_128-HMAC_SHA2_512+HMAC_SHA2_256-NONE-MODP2048+MODP3072+MODP4096+MODP8192+ECP_256+ECP_384+ECP_521+CURVE25519</font></div><div><font size="4">Mar 25 20:18:03.398385: "MOBILE"[3] 6.7.8.9:   3:IKE=AES_CBC_256-HMAC_SHA2_512+HMAC_SHA2_256-HMAC_SHA2_512_256+HMAC_SHA2_256_128-MODP2048+MODP3072+MODP4096+MODP8192+ECP_256+ECP_384+ECP_521+CURVE25519</font></div><div><font size="4">Mar 25 20:18:03.398403: "MOBILE"[3] 6.7.8.9:   4:IKE=AES_CBC_128-HMAC_SHA2_512+HMAC_SHA2_256-HMAC_SHA2_512_256+HMAC_SHA2_256_128-MODP2048+MODP3072+MODP4096+MODP8192+ECP_256+ECP_384+ECP_521+CURVE25519</font></div><div><font size="4">Mar 25 20:18:03.398418: "MOBILE"[3] 6.7.8.9 #9: proposal 1:IKE=AES_GCM_C_256-HMAC_SHA2_512-MODP2048 chosen from remote proposals 1:IKE:ENCR=AES_GCM_C_256;PRF=HMAC_SHA2_512;PRF=HMAC_SHA2_256;DH=MODP2048;DH=MODP3072;DH=MODP4096;DH=MODP8192;DH=ECP_256;DH=ECP_384;DH=ECP_521;DH=CURVE25519[first-match] 2:IKE:ENCR=AES_GCM_C_128;PRF=HMAC_SHA2_512;PRF=HMAC_SHA2_256;DH=MODP2048;DH=MODP3072;DH=MODP4096;DH=MODP8192;DH=ECP_256;DH=ECP_384;DH=ECP_521;DH=CURVE25519 3:IKE:ENCR=AES_CBC_256;PRF=HMAC_SHA2_512;PRF=HMAC_SHA2_256;INTEG=HMAC_SHA2_512_256;INTEG=HMAC_SHA2_256_128;DH=MODP2048;DH=MODP3072;DH=MODP4096;DH=MODP8192;DH=ECP_256;DH=ECP_384;DH=ECP_521;DH=CURVE25519 4:IKE:ENCR=AES_CBC_128;PRF=HMAC_SHA2_512;PRF=HMAC_SHA2_256;INTEG=HMAC_SHA2_512_256;INTEG=HMAC_SHA2_256_128;DH=MODP2048;DH=MODP3072;DH=MODP4096;DH=MODP8192;DH=ECP_256;DH=ECP_384;DH=ECP_521;DH=CURVE25519</font></div><div><font size="4">Mar 25 20:18:03.399828: "MOBILE"[3] 6.7.8.9 #9: sent IKE_SA_INIT reply {auth=IKEv2 cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}</font></div><div><font size="4">Mar 25 20:18:03.452119: "MOBILE"[3] 6.7.8.9 #9: processing decrypted IKE_AUTH request: SK{IDi,CERT,IDr,AUTH,CP,SA,TSi,TSr,N}</font></div><div><font size="4">Mar 25 20:18:03.452836: "MOBILE"[3] 6.7.8.9 #9: certificate verified OK: O=Europa,CN=ceres.xyz.com</font></div><div><font size="4">Mar 25 20:18:03.452857: "MOBILE"[3] 6.7.8.9 #9: certificate subjectAltName extension does not match ID_IPV4_ADDR '6.7.8.9'</font></div><div><font size="4">Mar 25 20:18:03.452862: "MOBILE"[3] 6.7.8.9 #9: Peer CERT payload SubjectAltName does not match peer ID for this connection</font></div><div><font size="4">Mar 25 20:18:03.452880: "MOBILE"[3] 6.7.8.9 #9: X509: connection failed due to unmatched IKE ID in certificate SAN</font></div><div><font size="4">Mar 25 20:18:03.452935: "MOBILE"[3] 6.7.8.9 #9: switched from "MOBILE"[3] 6.7.8.9 to "MOBILE"</font></div><div><font size="4">Mar 25 20:18:03.452949: "MOBILE"[3] 6.7.8.9: deleting connection instance with peer 6.7.8.9 {isakmp=#0/ipsec=#0}</font></div><div><font size="4">Mar 25 20:18:03.452964: "MOBILE"[4] 6.7.8.9 #9: IKEv2 mode peer ID is ID_DER_ASN1_DN: 'CN=ceres.xyz.com, O=Europa'</font></div><div><font size="4">Mar 25 20:18:03.453185: "MOBILE"[4] 6.7.8.9 #9: authenticated using RSA with SHA2_512</font></div><div><font size="4">Mar 25 20:18:03.461603: "MOBILE"[4] 6.7.8.9: local ESP/AH proposals (IKE_AUTH responder matching remote ESP/AH proposals): </font></div><div><font size="4">Mar 25 20:18:03.461622: "MOBILE"[4] 6.7.8.9:   1:ESP=AES_GCM_C_256-NONE-NONE-DISABLED</font></div><div><font size="4">Mar 25 20:18:03.461626: "MOBILE"[4] 6.7.8.9:   2:ESP=AES_GCM_C_128-NONE-NONE-DISABLED</font></div><div><font size="4">Mar 25 20:18:03.461630: "MOBILE"[4] 6.7.8.9:   3:ESP=AES_CBC_256-HMAC_SHA2_512_256+HMAC_SHA2_256_128-NONE-DISABLED</font></div><div><font size="4">Mar 25 20:18:03.461633: "MOBILE"[4] 6.7.8.9:   4:ESP=AES_CBC_128-HMAC_SHA2_512_256+HMAC_SHA2_256_128-NONE-DISABLED</font></div><div><font size="4">Mar 25 20:18:03.461642: "MOBILE"[4] 6.7.8.9 #10: proposal 1:ESP=AES_GCM_C_256-DISABLED SPI=7f84b6fd chosen from remote proposals 1:ESP:ENCR=AES_GCM_C_256;ESN=DISABLED[first-match] 2:ESP:ENCR=AES_GCM_C_128;ESN=DISABLED 3:ESP:ENCR=AES_CBC_256;INTEG=HMAC_SHA2_512_256;INTEG=HMAC_SHA2_256_128;ESN=DISABLED 4:ESP:ENCR=AES_CBC_128;INTEG=HMAC_SHA2_512_256;INTEG=HMAC_SHA2_256_128;ESN=DISABLED</font></div><div><font size="4">Mar 25 20:18:03.494155: "MOBILE"[4] 6.7.8.9 #10: negotiated connection [192.168.0.0-192.168.0.255:0-65535 0] -> [0.0.0.0-255.255.255.255:0-65535 0]</font></div><div><font size="4">Mar 25 20:18:03.494182: "MOBILE"[4] 6.7.8.9 #10: IPsec SA established tunnel mode {ESPinUDP=>0x7f84b6fd <0xd8d28ada xfrm=AES_GCM_16_256-NONE NATOA=none NATD=6.7.8.9:28646 DPD=active}</font></div><div></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><font size="4">Thanks, Best</font></div><div><font size="4"><br></font></div><div><font size="4"><br></font></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div>On Wed, 2021-03-24 at 15:36 -0400, Paul Wouters wrote:</div><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>On Thu, 25 Mar 2021, Blue Aquan wrote:</pre><pre><br></pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>Server side</pre><pre><br></pre><pre>conn MOBILE</pre><pre>        left=europa.abc.com</pre><pre>        leftsubnet=192.168.1.0/24</pre></blockquote><pre><br></pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>        right=%any</pre><pre>        rightaddresspool=10.10.128.10-10.10.128.20</pre></blockquote><pre><br></pre><pre>add </pre><a href="mailto:leftid=@europa.abc.com"><pre>leftid=@europa.abc.com</pre></a><pre><br></pre><pre><br></pre><blockquote type="cite" style="margin:0 0 0 .8ex; border-left:2px #729fcf solid;padding-left:1ex"><pre>Client side</pre><pre><br></pre><pre>conn EUROPA</pre><pre>        left=%defaultroute</pre><pre>        leftsubnet=10.10.128.0/24</pre><pre>        right=europa.abc.com</pre><pre>        rightsubnet=192.168.1.0/24</pre><pre>        </pre><a href="mailto:rightid=@europa.abc.com"><pre>rightid=@europa.abc.com</pre></a><pre><br></pre></blockquote><pre><br></pre><pre>I cannot tell whether you want a tunnel established from 10.10.128.0/24 <-> 192.168.1.0/24</pre><pre>Or that you want to hand out an addresspool to the client via rightaddresspool=</pre><pre><br></pre><pre>If you meant a subnet to subnet, then on the conn MOBILE replace the</pre><pre>addresspool line with rightsubnet=10.10.128.0/24</pre><pre><br></pre><pre>If you meant giving it a single IP, then remote the</pre><pre>rightsubnet=192.168.1.0/24 and add rightsubnet=0.0.0.0/0 with narrowing=yes</pre><pre><br></pre><pre>Paul</pre></blockquote></body></html>