<div dir="ltr">Just trying to configure multinet IPSec VPN tunnel, but with no success.<div><br><div>The configuration with either of these subnets is working fine, but when trying to bring up both sharing the IPSec SA, it does not work and I get messages like these for the second connection:</div><div><br></div>[root@prd01a ipsec.d]# ipsec auto --up sp1<br>002 "sp1" #94: local ESP/AH proposals for sp1 (ESP/AH initiator emitting proposals): 1:ESP:ENCR=AES_CBC_256;INTEG=HMAC_SHA2_256_128;DH=ECP_384;ESN=DISABLED<br>139 "sp1" #94: STATE_V2_CREATE_I: sent IPsec Child req wait response<br>003 "sp1" #94: dropping unexpected CREATE_CHILD_SA message containing INVALID_KE_PAYLOAD notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr<br>010 "sp1" #94: STATE_V2_CREATE_I: retransmission; will wait 0.5 seconds for response<br>003 "sp1" #94: dropping unexpected CREATE_CHILD_SA message containing INVALID_KE_PAYLOAD notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr<br>010 "sp1" #94: STATE_V2_CREATE_I: retransmission; will wait 1 seconds for response<br><div>003 "sp1" #94: dropping unexpected CREATE_CHILD_SA message containing INVALID_KE_PAYLOAD notification; message payloads: SK; encrypted payloads: N; missing payloads: SA,Ni,TSi,TSr </div><div><br></div><div>Configuration is similar to this (rightsubnets):</div><div>conn sp1<br>        hostaddrfamily=ipv4<br>        clientaddrfamily=ipv4<br>        right=1.2.3.4<br>        rightsubnet=<a href="http://10.10.10.0/24">10.10.10.0/24</a><br>        #rightsubnets={<a href="http://10.10.10.0/24">10.10.10.0/24</a> <a href="http://10.20.20.0/24">10.20.20.0/24</a>}<br>        left=100.64.7.8<br>        leftsubnet=<a href="http://100.64.7.0/24">100.64.7.0/24</a><br>        #ikev2<br>        leftauth=secret<br>        rightauth=secret<br>        ikev2=insist<br>        ike=aes256-sha256;dh20<br>        esp=aes256-sha256;dh20<br>        remote_peer_type=cisco<br>        salifetime=24h<br>        ikelifetime=24h<br>        dpdaction=restart<br>        dpdtimeout=60<br>        dpddelay=30<br>        auto=add<br></div><div><br></div><div>Is there anything I am missing or just not supported?</div><div>Server is running quite old SW on CentOS7 on the other side there is Cisco ASA5555.</div><div>$ ipsec version<br>Linux Libreswan 3.25 (netkey) on 3.10.0-1160.el7.x86_64<br></div><div><br></div><div>The multinet testconfigurations have the "ikev2=no"</div><div><a href="https://github.com/libreswan/libreswan/blob/main/testing/pluto/multinet-04/east.conf#L14">libreswan/east.conf at main · libreswan/libreswan · GitHub</a> </div><div>not sure why.</div><div><br></div><div>Thank you for your hints.</div><div><br></div><div>Peter</div></div></div>