<div dir="ltr">Hi,<div><br><div>I'm using libreswan-4.11-1.fc37.x86_64 on two fedora37 hosts to try to build a VPN between them. It was working fine for some days, but I believe I changed something on one of the servers, not related to libreswan, that caused it to stop working. It appears they're not communicating, like a routing problem or protocol issue. I really have no idea how to troubleshoot this.</div><div><br></div><div>The server where I believe the problem is also has another libreswan VPN that also stopped working at the same time.</div><div><br></div><div>Here's the config info I think could help troubleshooting this from the host with the problem.</div><div><br></div><div># ipsec status whack --showstates<br>000 #43: "mail03-arcade":500 STATE_V2_PARENT_I1 (sent IKE_SA_INIT request); RETRANSMIT in 4s; idle;<br>000 #43: pending CHILD SA for "mail03-arcade"<br>000 #44: "mail03-polaris":500 STATE_V2_PARENT_I1 (sent IKE_SA_INIT request); RETRANSMIT in 4s; idle;<br>000 #44: pending CHILD SA for "mail03-polaris"<br></div><div><br></div><div>Jun  4 11:49:48.969175: "mail03-polaris" #4: sent IKE_SA_INIT reply {cipher=AES_GCM_16_256 integ=n/a prf=HMAC_SHA2_512 group=MODP2048}<br>Jun  4 11:49:49.468301: "mail03-polaris" #4: received duplicate IKE_SA_INIT message request (Message ID 0); retransmitting response<br>Jun  4 11:49:49.968929: "mail03-polaris" #4: received duplicate IKE_SA_INIT message request (Message ID 0); retransmitting response<br></div><div><br></div><div>Here's also a pastebin for "ipsec status" on the server that I believe has the problem:</div><div><a href="https://pastebin.com/sezgcCGK">https://pastebin.com/sezgcCGK</a></div><div><br></div><div># route -n</div><div>Kernel IP routing table<br>Destination     Gateway         Genmask         Flags Metric Ref    Use Iface<br>0.0.0.0         68.195.111.41   0.0.0.0         UG    0      0        0 enp3s0<br>68.195.111.40   0.0.0.0         255.255.255.248 U     0      0        0 enp3s0<br>192.168.1.0     68.195.111.42   255.255.255.0   UG    0      0        0 enp3s0<br></div><div><br></div><div># ip a l enp3s0<br>2: enp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000<br>    link/ether 98:b7:85:00:90:12 brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://68.195.111.45/29">68.195.111.45/29</a> brd 68.195.111.47 scope global enp3s0<br>       valid_lft forever preferred_lft forever<br>    inet6 ::9ab7:85ff:fe00:9012/64 scope global dynamic mngtmpaddr <br>       valid_lft 3598sec preferred_lft 3598sec<br>    inet6 fe80::9ab7:85ff:fe00:9012/64 scope link <br>       valid_lft forever preferred_lft forever<br></div><div><br></div><div># cat /etc/ipsec.conf|grep -Ev '#|^$'<br>config setup<br>        logfile=/var/log/pluto.log<br>        plutodebug="base"<br>        protostack=netkey<br>include /etc/ipsec.d/*.conf<br></div><div><br></div><div>conn mail03-polaris<br>        ikev2=insist<br>        authby=rsasig<br>        auto=start<br>        dpddelay=10<br>        dpdtimeout=90<br>        dpdaction=clear<br>        leftid=@mail03-polaris<br>        left=<a href="http://mail03.example.com">mail03.example.com</a><br>        leftrsasigkey=0sAwEAAc6MjfCgIevnKOqbiEa4Xtc3dIliJHwMq3UtJ4tnB1EVylAz+6XHWuC9K15re6vunBi45jqoI0zKQioLL9bMfvlLUHQFVL03EH1trAsmXc8YGN ...<br>        rightid=@polaris-mail03<br>        right=<a href="http://polaris.example.com">polaris.example.com</a><br>        rightrsasigkey=0sAwEAAa9XC9vHpR61Gpu6AL8aRLFMztYeFOHzXXjnrfDuictzqJXn6zyjZvleg9oXuX6zOZFLz6oRoobNa5T+aTvAPH7DeJk2Jp4t+PZTbQB7krrdY... <br></div><div><br></div><div>How do I enable a reasonable amount of logging? Even plutodebug="base" is entirely too detailed for me to identify any useful info.</div><div><br></div><div>I'm using iptables and have rules that allow unimpeded traffic to and from each host.</div><div><br></div><div>Thank you very much. I've spent hours trying to figure this out, so really appreciate your help.</div><div><br></div><div><br></div><div><br></div><div><br></div></div></div>