<div dir="ltr">Hi, all<div><br></div><div>I want to install vpnaas in mitaka, but failed to create ipsec-connection.</div><div><br></div><div>OS version: Centos 7</div><div>Libreswan version: 3.10.0-327.18.2.el7.x86_64</div><div><br></div><div><br></div><div>In /etc/neutron/vpn_agent.ini, vpn_device_driver is neutron_vpnaas.services.vpn.device_drivers.libreswan_ipsec.LibreSwanDriver.</div><div><br></div><div>Before running neutron-vpn-agent, I had checked ipsec status, it seems normal:</div><div><div># ipsec verify</div><div>Checking your system to see if IPsec got installed and started correctly:</div><div>Version check and ipsec on-path                             <span class="" style="white-space:pre">  </span>[OK]</div><div>Linux Libreswan 3.15 (netkey) on 3.10.0-327.18.2.el7.x86_64</div><div>Checking for IPsec support in kernel                        <span class="" style="white-space:pre">     </span>[OK]</div><div> SAref kernel support                                       <span class="" style="white-space:pre">       </span>[N/A]</div><div> NETKEY:  Testing XFRM related proc values                  <span class="" style="white-space:pre">       </span>[OK]</div><div><span class="" style="white-space:pre">       </span>[OK]</div><div><span class="" style="white-space:pre">       </span>[OK]</div><div>Hardware RNG detected, testing if used properly             <span class="" style="white-space:pre">     </span>[OK]</div><div>Checking that pluto is running                              <span class="" style="white-space:pre">    </span>[OK]</div><div> Pluto listening for IKE on udp 500                         <span class="" style="white-space:pre">      </span>[OK]</div><div> Pluto listening for NAT-T on udp 4500                      <span class="" style="white-space:pre">       </span>[OK]</div><div>Two or more interfaces found, checking IP forwarding        <span class="" style="white-space:pre">       </span>[FAILED]</div><div>Checking NAT and MASQUERADEing                              <span class="" style="white-space:pre">        </span>[OK]</div><div>Checking for 'ip' command                                   <span class="" style="white-space:pre">  </span>[OK]</div><div>Checking /bin/sh is not /bin/dash                           <span class="" style="white-space:pre">      </span>[OK]</div><div>Checking for 'iptables' command                             <span class="" style="white-space:pre">     </span>[OK]</div><div>Opportunistic Encryption Support                            <span class="" style="white-space:pre">     </span>[DISABLED]</div></div><div><br></div><div><br></div><div>After create ikepolicy, ipsecpolicy and vpn service, create a ipsec-site-connection failed,</div><div>status code in vpn-agent.log returns 1 :</div><div><div># ip netns exec qrouter-5758220e-5c35-429a-975f-39375db70efe ipsec whack --ctlbase /var/lib/neutron/ipsec/5758220e-5c35-429a-975f-39375db70efe/var/run/pluto --status</div><div>whack: Pluto is not running (no "/var/lib/neutron/ipsec/5758220e-5c35-429a-975f-39375db70efe/var/run/pluto.ctl")</div></div><div><br></div><div>By the way, ipsec checknss had already run, but I had not seen any db files in the /etc/pki/nssdb directory:</div><div>root     14087  0.0  0.0 113252   912 ?        S    23:21   0:00 /bin/sh /sbin/ipsec checknss /var/lib/neutron/ipsec/5758220e-5c35-429a-975f-39375db70efe/etc</div></div>