
<p>Dear,</p>

<p>I'm failed to make vpn subnet to subnet even though I tried it for couple of weeks.</p>

<p>I've found all of packets in ipsec0 getting dropped when I ping from <a href="http://192.168.10.117">192.168.10.117</a> to client at opposite subnet</p>

<p>my vpn diagram<br><a href="http://192.168.10.0/24">192.168.10.0/24</a> ---- [eth1 a.b.c.d eth0] ==== internet ==== [eth0 x.y.w.z eth1] ----- <a href="http://192.168.15.0/24">192.168.15.0/24</a></p>

<p>a.b.c.d gateway</p>

<p>/etc/ipsec.conf<br>conn L5<br>&nbsp;left=a.b.c.d<br>&nbsp;leftnexthop=<a href="http://61.10.102.1">61.10.102.1</a><br>&nbsp;leftsubnet=<a href="http://192.168.10.0/24">192.168.10.0/24</a><br>&nbsp;leftid=a.b.c.d<br>&nbsp;leftcert=wahj.crt<br>

&nbsp;right=x.y.w.z<br>&nbsp;rightnexthop=<a href="http://61.10.64.1">61.10.64.1</a><br>&nbsp;rightsubnet=<a href="http://192.168.15.0/24">192.168.15.0/24</a><br>&nbsp;rightid=x.y.w.z<br>&nbsp;rightcert=hwwong.crt</p>

<p>/etc/init.d/iptables<br>&nbsp;echo 0 &gt; /proc/sys/net/ipv4/conf/ipsec0/rp_filter<br>&nbsp;echo 0 &gt; /proc/sys/net/ipv4/conf/eth0/rp_filter<br>&nbsp;iptables -A POSTROUTING -t nat -o eth0 -d \! <a href="http://192.168.15.0/24">192.168.15.0/24

</a> -j MASQUERADE</p>

<p><br>x.y.w.z gateway</p>

<p>/etc/ipsec.conf<br>conn L5<br>&nbsp;left=a.b.c.d<br>&nbsp;leftnexthop=<a href="http://61.10.102.1">61.10.102.1</a><br>&nbsp;leftsubnet=<a href="http://192.168.10.0/24">192.168.10.0/24</a><br>&nbsp;leftid=a.b.c.d<br>&nbsp;leftcert=wahj.crt<br>

&nbsp;right=x.y.w.z<br>&nbsp;rightnexthop=<a href="http://61.10.64.1">61.10.64.1</a><br>&nbsp;rightsubnet=<a href="http://192.168.15.0/24">192.168.15.0/24</a><br>&nbsp;rightid=x.y.w.z<br>&nbsp;rightcert=hwwong.crt</p>

<p>/etc/init.d/iptables<br>&nbsp;echo 0 &gt; /proc/sys/net/ipv4/conf/ipsec0/rp_filter<br>&nbsp;echo 0 &gt; /proc/sys/net/ipv4/conf/eth0/rp_filter<br>&nbsp;iptables -A POSTROUTING -t nat -o eth0 -d \! <a href="http://192.168.10.0/24">192.168.10.0/24

</a> -j MASQUERADE</p>

<p>ipsec auto --up L5 --&gt; IPsec SA established<br>ipsec verify --&gt; everything are ok</p>

<p>ipsec auto --status<br>&quot;L5&quot;: <a href="http://192.168.10.0/24===a.b.c.d:17/1701---61.10.102.1...61.10.64.1---x.y.w.z:17/1701===192.168.15.0/24">192.168.10.0/24===a.b.c.d:17/1701---61.10.102.1...61.10.64.1---x.y.w.z:17/1701===192.168.15.0/24

</a><br>&quot;L5&quot;:&nbsp;&nbsp; ike_life: 1800s; ipsec_life: 1800s; rekey_margin: 1200s; rekey_fuzz: 25%; keyingtries: 3<br>&quot;L5&quot;:&nbsp;&nbsp; policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL; interface: eth0; unrouted</p>

<p>netstat -rn<br>Kernel IP routing table<br>Destination&nbsp;&nbsp;&nbsp;&nbsp; Gateway&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Genmask&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Flags&nbsp;&nbsp; MSS Window&nbsp; irtt Iface<br>x.y.w.z&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://61.10.102.1">61.10.102.1</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.255.255">

255.255.255.255</a> UGH&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 ipsec0<br><a href="http://192.168.0.0">192.168.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.255.0">255.255.255.0</a>&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 eth1

<br><a href="http://192.168.15.0">192.168.15.0</a>&nbsp;&nbsp;&nbsp; <a href="http://61.10.102.1">61.10.102.1</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.255.0">255.255.255.0</a>&nbsp;&nbsp; UG&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 ipsec0<br><a href="http://192.168.10.0">192.168.10.0

</a>&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.255.0">255.255.255.0</a>&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 eth1<br><a href="http://61.10.102.0">61.10.102.0</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.254.0">255.255.254.0</a>&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 eth0<br><a href="http://61.10.102.0">61.10.102.0</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.255.254.0">255.255.254.0

</a>&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 ipsec0<br><a href="http://127.0.0.0">127.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://255.0.0.0">255.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; U&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 lo<br><a href="http://0.0.0.0">

0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://61.10.102.1">61.10.102.1</a>&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://0.0.0.0">0.0.0.0</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; UG&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 0 eth0</p>

<p>tcpdump -n -i ipsec0 -vv<br>tcpdump: listening on ipsec0<br>18:36:09.377051 <a href="http://192.168.10.117">192.168.10.117</a> &gt; <a href="http://192.168.15.1">192.168.15.1</a>: icmp: echo request (ttl 31, id 10446, len 60)

</p>

<p>ifconfig ipsec0<br>ipsec0&nbsp;&nbsp;&nbsp; Link encap:Ethernet&nbsp; HWaddr 00:50:FC:3A:17:5C&nbsp; <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; inet addr:a.b.c.d&nbsp; Mask:<a href="http://255.255.254.0">255.255.254.0</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; UP RUNNING NOARP&nbsp; MTU:16260&nbsp; Metric:1<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; RX packets:0 errors:0 dropped:0 overruns:0 frame:0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; TX packets:0 errors:0 dropped:48 overruns:0 carrier:0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; collisions:0 txqueuelen:10 </p>

<p><br>Kind regards,<br>Steve Jong</p>