Hello Friends,<br><br><br>CLIENT behind
G/W&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
IPSEC
GATEWAY&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
IPSEC HOST<br>|-------------------|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;|----------------|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp; |--------------|<br>|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|---------------------|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;&nbsp;|---------------------|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|
<br>|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
A&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;B&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;C&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
| <br>|-------------------|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp;|----------------|
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
&nbsp; |--------------|
<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <font style="background-color: rgb(153, 255, 255);">eth0</font>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<font style="background-color: rgb(153, 255, 153);">eth0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;eth1</font>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<font style="background-color: rgb(255, 204, 153);">

eth0<br></font>&nbsp;&nbsp; <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://192.168.1.5" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 192.168.1.5</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://192.168.1.1" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 
192.168.1.1</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://10.10.100.25" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.10.100.25</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://10.10.100.88" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 

10.10.100.88</a><br><br><br><font size="2">
<p>I am using IPSEC KLIPS 2.6 with NAT support on Gateway B and Host C,
Client A is the normal host behind the Gateway B.. I am using
type=transport in the ipsec.conf files for both the Gateway B and Host
C.</p>
<p>In the intial stage the tunnel is not getting up from Gateway B to HOST C, thus not able to ping from A to C.</p>
<p>But I can successfully ping from Host C to Client A and then trying
again getting successfull ping response from Client A to Host C which is not there before.<br>
</p>
<p>If I want to use transport mode where i can use that either on GATEWAY B or on HOST C or on both ?<br>
</p>
<p>THank You.<br>
</p>
<p>Ankur.<br>
</p>
<p><span style="background-color: rgb(255, 255, 51);">BEFORE TRYING PING FROM C TO A ::</span><br>
</p>
<p>OUTPUT ON GATEWAY B :: Ipsec auto --status <br>
</p>
<p>000 &quot;netone&quot;: <a href="http://192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88</a>; erouted HOLD; eroute owner: #0<br>
000 &quot;netone&quot;:&nbsp;&nbsp;&nbsp;&nbsp; srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<br>
000 &quot;netone&quot;:&nbsp;&nbsp; policy: PSK+ENCRYPT+COMPRESS+TUNNEL+UP+failurePASS; prio: 8,32; interface: eth1;<br>
000 &quot;netone&quot;:&nbsp;&nbsp; newest ISAKMP SA: #1; newest IPsec SA: #0;<br>
000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms wanted: 3_000-1-5, 3_000-1-2, flags=strict<br>
000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms found:&nbsp; 3_128-1_128-5, 3_128-1_128-2,<br>
000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithm newest: BLOWFISH_CBC_128-MD5-MODP1536<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms wanted: 3_000-1, flags=strict<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms loaded: 3_000-1, flags=strict<br>
000<br>
000 #4: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 2s; lastdpd=-1s(seq in:0 out:0)<br>
000 #3: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 6s; lastdpd=-1s(seq in:0 out:0)<br>
000 #1: &quot;netone&quot;:500 STATE_MAIN_I4 (ISAKMP SA established);
EVENT_SA_REPLACE in 2973s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)<br>
</p>
<p>
</p>
</font>
<p><br>
<span style="background-color: rgb(255, 255, 51);">AFTER TRYING PING FROM C TO A ::</span><br>
</p>

<p>OUTPUT ON GATEWAY B :: Ipsec auto --status </p>

<font size="2">
<p>000 &quot;netone&quot;: <a href="http://192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88</a>; erouted; eroute owner: #5<br>
000 &quot;netone&quot;:&nbsp;&nbsp;&nbsp;&nbsp; srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<br>
000 &quot;netone&quot;:&nbsp;&nbsp; policy: PSK+ENCRYPT+COMPRESS+TUNNEL+UP+failurePASS; prio: 8,32; interface: eth1;<br>
000 &quot;netone&quot;:&nbsp;&nbsp; newest ISAKMP SA: #1; newest IPsec SA: #5;<br>
000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms wanted: 3_000-1-5, 3_000-1-2, flags=strict<br>
000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms found:&nbsp; 3_128-1_128-5, 3_128-1_128-2,<br>
000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithm newest: BLOWFISH_CBC_128-MD5-MODP1536<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms wanted: 3_000-1, flags=strict<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms loaded: 3_000-1, flags=strict<br>
000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=&lt;N/A&gt;<br>
000<br>
000 #5: &quot;netone&quot;:500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 3324s; newest IPSEC; eroute owner<br>
000 #5: &quot;netone&quot; <a href="mailto:esp.9db7fa8@10.10.100.88">esp.9db7fa8@10.10.100.88</a> <a href="mailto:esp.6c5ef14f@10.10.100.25">esp.6c5ef14f@10.10.100.25</a> <a href="mailto:tun.1002@10.10.100.88">tun.1002@10.10.100.88
</a> <a href="mailto:tun.1001@10.10.100.25">tun.1001@10.10.100.25</a><br>
000 #4: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 24s; lastdpd=-1s(seq in:0 out:0)<br>
000 #3: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0)<br>
000 #1: &quot;netone&quot;:500 STATE_MAIN_I4 (ISAKMP SA established);
EVENT_SA_REPLACE in 2935s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)<br>
000<br>
</p>
<p><br>
b) I have used type=transport then also why in the above message it shows <font><font size="2"> policy: PSK+ENCRYPT+COMPRESS+<span style="background-color: rgb(255, 255, 204);">TUNNEL</span>+UP+failurePASS instead of <span style="background-color: rgb(255, 255, 204);">
TRANSPORT</span><br>
</font></font></p>
</font>