<div dir="ltr"><div>many issues were fixed, 3.15 is 6 years old. Please try to at least upgrade to 3.32</div><div><br></div><div>Paul<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 26, 2021 at 12:16 PM Frank Liu <<a href="mailto:gfrankliu@gmail.com">gfrankliu@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Thanks Paul!</div><div>Just noticed the version we are running is 3.15 on Amazon Linux1. When the remote side (Cisco ASA) brings down the tunnel and back up again, libreswan can't recover (see below libreswan config), filling with errors:</div><div><br></div><div>Oct 26 15:29:24: "asa/0x4" #58794: max number of retransmissions (8) reached STATE_QUICK_I1.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal<br>Oct 26 15:29:24: "asa/0x4" #58794: starting keying attempt 11 of an unlimited number<br>Oct 26 15:29:24: "asa/0x4" #58820: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP+IKEV1_ALLOW+IKEV2_ALLOW+SAREF_TRACK+IKE_FRAG_ALLOW to replace #58794 {using isakmp#58549 msgid:8e7129f2 proposal=AES(12)_256-SHA1(2)_000 pfsgroup=no-pfs}<br>Oct 26 15:29:24: deleting state #58794 (STATE_QUICK_I1)</div><div><br></div><div>Here is the libreswan 3.15 config. Is this a known issue fixed between 3.15 and latest?<br></div><div><br></div><div>conn asa<br>        type=tunnel<br>        authby=secret<br>        left=...<br>        leftid=...<br>        leftsubnet=...<br>        right=...<br>        rightsubnets=...<br>        keyexchange=ike<br>        ikelifetime=86400s<br>        salifetime=28800s<br>        pfs=no<br>        auto=start<br>        dpddelay=10<br>        dpdtimeout=40<br>        dpdaction=restart<br>        aggrmode=no<br>        ike=aes256-sha1;modp1024<br>        phase2alg=aes256-sha1;modp1024</div><div><br></div><div>Thanks!</div><div>Frank<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Oct 19, 2021 at 11:56 AM Paul Wouters <<a href="mailto:paul.wouters@aiven.io" target="_blank">paul.wouters@aiven.io</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Tue, 19 Oct 2021, Frank Liu wrote:<br>
<br>
> We are using libreswan 3.25 bundled with centos 7.9, having a tunnel with Cisco ASA with DPD<br>
> enabled. Occasionally, the tunnel stops working, and a manual restart of libreswan will<br>
> always be able to fix it.<br>
> <br>
> We are thinking of upgrading to the latest 4.5 from<br>
> <a href="https://download.libreswan.org/binaries/rhel/7/x86_64/" rel="noreferrer" target="_blank">https://download.libreswan.org/binaries/rhel/7/x86_64/</a> and see if it is more stable. Is 4.5 a<br>
> simple drop-in upgrade to 3.25 if we do rpm -U?<br>
<br>
It should be, yes.<br>
<br>
Note some defaults did change which might require tweaking your config<br>
files. A quick grep on the CHANGES file between 3.26 and 4.5 show:<br>
<br>
* pluto: Change default ikelifetime from 1h to 8h [Paul]<br>
* pluto: change default IKE SA lifetime from 1h to 8h [Paul]<br>
* IKEv2: Remove SHA1 from default proposal list [Paul]<br>
* IKEv2: Prefer RFC 7427 Digital Signatures for default authby=rsasig [Sahana]<br>
* pluto: Add chacha20_poly1305 and curve25519 to default proposals [Paul]<br>
* IKE: Change default connection from IKEv1 to IKEv2 [Paul]<br>
<br>
If you did not set ike2= before, meaning you were using IKEv1, you need<br>
to add ikev2=no<br>
<br>
Paul<br>
</blockquote></div>
</blockquote></div>