
Hello Friends,<br><br><br>CLIENT behind

G/W&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

IPSEC

GATEWAY&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

IPSEC HOST<br>|-------------------|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;|----------------|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp; |--------------|<br>|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|---------------------|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;&nbsp;|---------------------|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|

<br>|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

A&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;B&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;|&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;C&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

| <br>|-------------------|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp;|----------------|

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;

&nbsp; |--------------|

<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <font style="background-color: rgb(153, 255, 255);">eth0</font>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<font style="background-color: rgb(153, 255, 153);">eth0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;eth1</font>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<font style="background-color: rgb(255, 204, 153);">


eth0<br></font>&nbsp;&nbsp; <br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://192.168.1.5" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 192.168.1.5</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://192.168.1.1" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 

192.168.1.1</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://10.10.100.25" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 10.10.100.25</a>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://10.10.100.88" target="_blank" onclick="return top.js.OpenExtLink(window,event,this)"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 


10.10.100.88</a><br><br><br><font size="2">

<p>I am using IPSEC KLIPS 2.6 with NAT support on Gateway B and Host C,

Client A is the normal host behind the Gateway B.. I am using

type=transport in the ipsec.conf files for both the Gateway B and Host

C.</p>

<p>In the intial stage the tunnel is not getting up from Gateway B to HOST C, thus not able to ping from A to C.</p>

<p>But I can successfully ping from Host C to Client A and then trying

again getting successfull ping response from Client A to Host C which is not there before.<br>

</p>

<p>If I want to use transport mode where i can use that either on GATEWAY B or on HOST C or on both ?<br>

</p>

<p>THank You.<br>

</p>

<p>Ankur.<br>

</p>

<p><span style="background-color: rgb(255, 255, 51);">BEFORE TRYING PING FROM C TO A ::</span><br>

</p>

<p>OUTPUT ON GATEWAY B :: Ipsec auto --status <br>

</p>

<p>000 &quot;netone&quot;: <a href="http://192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88</a>; erouted HOLD; eroute owner: #0<br>

000 &quot;netone&quot;:&nbsp;&nbsp;&nbsp;&nbsp; srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<br>

000 &quot;netone&quot;:&nbsp;&nbsp; policy: PSK+ENCRYPT+COMPRESS+TUNNEL+UP+failurePASS; prio: 8,32; interface: eth1;<br>

000 &quot;netone&quot;:&nbsp;&nbsp; newest ISAKMP SA: #1; newest IPsec SA: #0;<br>

000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms wanted: 3_000-1-5, 3_000-1-2, flags=strict<br>

000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms found:&nbsp; 3_128-1_128-5, 3_128-1_128-2,<br>

000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithm newest: BLOWFISH_CBC_128-MD5-MODP1536<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms wanted: 3_000-1, flags=strict<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms loaded: 3_000-1, flags=strict<br>

000<br>

000 #4: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 2s; lastdpd=-1s(seq in:0 out:0)<br>

000 #3: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 6s; lastdpd=-1s(seq in:0 out:0)<br>

000 #1: &quot;netone&quot;:500 STATE_MAIN_I4 (ISAKMP SA established);

EVENT_SA_REPLACE in 2973s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)<br>

</p>

<p>

</p>

</font>

<p><br>

<span style="background-color: rgb(255, 255, 51);">AFTER TRYING PING FROM C TO A ::</span><br>

</p>


<p>OUTPUT ON GATEWAY B :: Ipsec auto --status </p>


<font size="2">

<p>000 &quot;netone&quot;: <a href="http://192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 192.0.0.0/8===10.10.100.25...10.10.100.88---10.10.100.88</a>; erouted; eroute owner: #5<br>

000 &quot;netone&quot;:&nbsp;&nbsp;&nbsp;&nbsp; srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<br>

000 &quot;netone&quot;:&nbsp;&nbsp; policy: PSK+ENCRYPT+COMPRESS+TUNNEL+UP+failurePASS; prio: 8,32; interface: eth1;<br>

000 &quot;netone&quot;:&nbsp;&nbsp; newest ISAKMP SA: #1; newest IPsec SA: #5;<br>

000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms wanted: 3_000-1-5, 3_000-1-2, flags=strict<br>

000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithms found:&nbsp; 3_128-1_128-5, 3_128-1_128-2,<br>

000 &quot;netone&quot;:&nbsp;&nbsp; IKE algorithm newest: BLOWFISH_CBC_128-MD5-MODP1536<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms wanted: 3_000-1, flags=strict<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithms loaded: 3_000-1, flags=strict<br>

000 &quot;netone&quot;:&nbsp;&nbsp; ESP algorithm newest: 3DES_0-HMAC_MD5; pfsgroup=&lt;N/A&gt;<br>

000<br>

000 #5: &quot;netone&quot;:500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 3324s; newest IPSEC; eroute owner<br>

000 #5: &quot;netone&quot; <a href="mailto:esp.9db7fa8@10.10.100.88">esp.9db7fa8@10.10.100.88</a> <a href="mailto:esp.6c5ef14f@10.10.100.25">esp.6c5ef14f@10.10.100.25</a> <a href="mailto:tun.1002@10.10.100.88">tun.1002@10.10.100.88

</a> <a href="mailto:tun.1001@10.10.100.25">tun.1001@10.10.100.25</a><br>

000 #4: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 24s; lastdpd=-1s(seq in:0 out:0)<br>

000 #3: &quot;netone&quot;:500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 8s; lastdpd=-1s(seq in:0 out:0)<br>

000 #1: &quot;netone&quot;:500 STATE_MAIN_I4 (ISAKMP SA established);

EVENT_SA_REPLACE in 2935s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)<br>

000<br>

</p>

<p><br>

b) I have used type=transport then also why in the above message it shows <font><font size="2"> policy: PSK+ENCRYPT+COMPRESS+<span style="background-color: rgb(255, 255, 204);">TUNNEL</span>+UP+failurePASS instead of <span style="background-color: rgb(255, 255, 204);">

TRANSPORT</span><br>

</font></font></p>

</font>