Peter,<br><br>You were absolutely correct.&nbsp; Thank you so much!&nbsp; I was totally stressing on this one yesterday!<br><br>BTW - I&#39;m sure I can find the info somewhere but, do you have any idea how I can MASQ everything but the IPSEC packets when the tunnels are on 2 discontiguous subnets?
<br><br>Thanks again for all your help.<br><br>-Robyn<br><br><div><span class="gmail_quote">On 6/26/07, <b class="gmail_sendername">Peter McGill</b> &lt;<a href="mailto:petermcgill@goco.net">petermcgill@goco.net</a>&gt; wrote:
</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">&gt; -----Original Message-----<br>&gt; Date: Mon, 25 Jun 2007 14:10:16 -0700<br>&gt; From: &quot;Robyn Orosz&quot; &lt;
<a href="mailto:rorosz@gmail.com">rorosz@gmail.com</a>&gt;<br>&gt; Subject: [Openswan Users] Unable to pass traffic on site-to-site VPN<br>&gt; To: <a href="mailto:users@openswan.org">users@openswan.org</a><br>&gt;<br>&gt; Hi,
<br>&gt;<br>&gt; I am running into an intermittent issue where no traffic will<br>&gt; pass on my<br>&gt; site to site VPN.&nbsp;&nbsp;The tunnels are up but packets that match<br>&gt; the subnets in<br>&gt; the proposal do not enter the tunnel.
<br>&gt;<br>&gt; Below I have replaced the local public IP address with<br>&gt; &lt;local-ip&gt; and the<br>&gt; remote public IP address with &lt;remote-ip&gt;.<br>&gt;<br>&gt; Here is the ipsec.conf<br>&gt; config setup
<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces=&quot;ipsec0=eth0&quot;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; nat_traversal=yes<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; virtual_private=&quot;%v4:<a href="http://192.168.1.0/24,%v4:192.168.50.0/24">192.168.1.0/24,%v4:192.168.50.0/24</a>&quot;
<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos=yes<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; syslog=daemon.debug<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug=&quot;all&quot;<br><br>Set plutodebug=none or your logs will be virtually unreadable.<br><br>&gt; There are also 2 masquerade rules that are supposed to
<br>&gt; masquerade all other<br>&gt; traffic that is not destined for the tunnel.&nbsp;&nbsp;They seem to be<br>&gt; working fine.<br>&gt; Internet traffic passes without issues.<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;157&nbsp;&nbsp;8715 MASQUERADE&nbsp;&nbsp;0&nbsp;&nbsp;&nbsp;&nbsp;--&nbsp;&nbsp;any&nbsp;&nbsp;&nbsp;&nbsp;eth0&nbsp;&nbsp;&nbsp;&nbsp;
<a href="http://192.168.44.0/24">192.168.44.0/24</a><br>&gt; !192.168.50.0/24<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;45&nbsp;&nbsp;4092 MASQUERADE&nbsp;&nbsp;0&nbsp;&nbsp;&nbsp;&nbsp;--&nbsp;&nbsp;any&nbsp;&nbsp;&nbsp;&nbsp;eth0&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://192.168.44.0/24">192.168.44.0/24</a><br>&gt; !192.168.1.0/24<br><br>These iptables rules should not work. You will end up MASQing everything.
<br><br>Packets destined for internet will match first rule and get MASQ&#39;d.<br>They will work correctly.<br><br>Packets destined for <a href="http://192.168.50.0/24">192.168.50.0/24</a> will not match first rule.<br>But will match second rule and get MASQ&#39;d, this will break your pings, etc...
<br><br>Packets destined for <a href="http://192.168.1.0/24">192.168.1.0/24</a> will match the first rule and get<br>MASQ&#39;d, breaking your pings etc...<br><br>You must have only one MASQ rule.<br><br>You will have to mark the ipsec packets then MASQ the unmarked packets.
<br><br>Peter<br><br></blockquote></div><br>