<br><font size=2 face="sans-serif">I suspect that these questions may have
been asked before, but I had a hard time finding a conclusive answer when
searching online.</font>
<br>
<br><font size=2 face="sans-serif">I have a routing problem that is occurring
when I start ipsec that I need help with. If I start ipsec and get a successful
connection to the right gateway, all is happy and routing works fine. However,
if the right gateway is not available (for various reasons), local routing
seems to be amiss. The routing table looks correct, but traffic gets stuck
as if it only wants to go through the tunnel.</font>
<br>
<br><font size=2 face="sans-serif">And, my question. I've designed my sites
to all be part of the 172.16.0.0/12 private IP range, breaking this into
several /24 ranges per site. I want to setup the tunnel to have full access
to the 4, 5, 6, etc. /24 subnets sitting at the other site. I tried to
simply add additional connections in the config, but that seemed to break
routing also. Your help is appreciated.</font>
<br>
<br><font size=2 face="sans-serif">Here is a copy of my configuration with
public info cleaned. loc1 has a public IP address on its interface, while
loc2 has a private IP and is statically NATed through a firewall. Please
let me know if I've neglected to provide enough info. BTW, these are both
Gentoo systems with 2.6.17 (or better) kernels.</font>
<br>
<br><font size=2 face="sans-serif">---- ipsec.conf ----</font>
<br><font size=2 face="sans-serif">version 2.0</font>
<br>
<br><font size=2 face="sans-serif">config setup</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; interfaces=&quot;ipsec0=wan&quot;</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; klipsdebug=none</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; plutodebug=none</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; plutostderrlog=/var/log/ipsec/pluto.log</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; # nat_traversal=yes</font>
<br>
<br><font size=2 face="sans-serif">conn %default</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; keyingtries=1</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; compress=yes</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; authby=rsasig</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftrsasigkey=%cert</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; rightrsasigkey=%cert</font>
<br>
<br><font size=2 face="sans-serif">include /etc/ipsec/loc1-loc2.conf</font>
<br>
<br><font size=2 face="sans-serif">conn block</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=ignore</font>
<br>
<br><font size=2 face="sans-serif">conn private</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=ignore</font>
<br>
<br><font size=2 face="sans-serif">conn private-or-clear</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=ignore</font>
<br>
<br><font size=2 face="sans-serif">conn clear-or-private</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=ignore</font>
<br>
<br><font size=2 face="sans-serif">conn clear</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=ignore</font>
<br>
<br><font size=2 face="sans-serif">conn packetdefault</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=ignore</font>
<br>
<br><font size=2 face="sans-serif">---- loc1-loc2.conf ----</font>
<br><font size=2 face="sans-serif">conn loc1-loc2-net</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; also=ipsec-cfg</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; also=loc1</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftsubnet=172.16.3.0/24</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; alsoflip=loc2</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; rightsubnet=172.16.13.0/24</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=start</font>
<br>
<br><font size=2 face="sans-serif">conn loc1-loc2-gate</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; also=ipsec-cfg</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; also=loc1</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; alsoflip=loc2</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; auto=start</font>
<br>
<br><font size=2 face="sans-serif">conn ipsec-cfg</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; keyexchange=ike</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; ike=3des-sha-modp2048</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; esp=3des-md5-96</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; pfs=no</font>
<br>
<br><font size=2 face="sans-serif">conn loc1</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; left=x.x.x.x</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftnexthop=x.x.x.y</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftid=&quot;C=US,
ST=...&quot;</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftcert=/etc/ipsec/ipsec.d/certs/loc1.pem</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftsourceip=172.16.3.1</font>
<br>
<br><font size=2 face="sans-serif">conn loc2</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; left=y.y.y.y</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftnexthop=172.16.13.1</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftid=&quot;C=US...&quot;</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftcert=/etc/ipsec/ipsec.d/certs/loc2.pem</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; leftsourceip=172.16.13.10</font>
<br>
<br><font size=2 face="sans-serif">Thanks.</font>
<br><font size=2 face="sans-serif">Chris</font>