
<div>Hello sir,</div>

<div>Thank you for reply ....Now the adsl modem is having four ethernet ports and one wireless .I have connected openswan gateway to one ethernet port...You have told to&nbsp; change the modem to pass the external public address to openswan gateway&nbsp;.Will you tell me how to pass the external address from modem to openswan gateway????</div>


<div>&nbsp;</div>

<div>Normally, which type of internet connection(adsl,leased line or any other..), the openswan can be deployed???? How you are using openswan through internet scenerio????</div>

<div>&nbsp;</div>

<div>Thanks in advance,</div>

<div>Regards,</div>

<div>Nirmala.<br><br>&nbsp;</div>

<div><span class="gmail_quote">On 7/2/08, <b class="gmail_sendername">Peter McGill</b> &lt;<a href="mailto:petermcgill@goco.net">petermcgill@goco.net</a>&gt; wrote:</span>

<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Nirmala,<br><br>Correct me if I&#39;m wrong, but your scenario is this:<br>At each location you have a broadband internet router connected to the internet.<br>

This router is physically connected to your Openswan (Linux) gateway using the <a href="http://192.168.1.0/24">192.168.1.0/24</a><br>network which the router manages.<br>Then you connect the Openswan gateway to your internal LAN 192.169.x.x via another net card.<br>

(Note: 192.169.80/100.x are public internet addresses, unless they are assigned to you, you<br>shouldn&#39;t use them else you risk not being able to communicate with the real assigned computers.<br>perhaps you meant to use 192.168.80/100.x)<br>

<br>This means that both your Openswan gateways are natted before they reach the internet, this<br>is a double nat scenario and I do not think it possible to work.<br>If possible (modem connects only to Openswan gateway), then change the modem to pass the external<br>

public address through to the Openswan gateway rather than using the <a href="http://192.168.1.0/24">192.168.1.0/24</a> network.<br>Then Openswan gateway will have a public address of 59.90.235.x without nat, and this will work.<br>

<br>Note you should use something like this, don&#39;t set any other options unless you know what your doing.<br>Openswan has good secure defaults, unless your connecting to non-openswan you should not need to<br>change any encryption settings. Note the debug entries are removed also, they are for developer<br>

debugging not user troubleshooting and get in the way flooding your logs, only use if asked by a devel.<br><br>Don&#39;t use shared secrets unless necessary, use default rsa public keys instead.<br>As explained in doc/install.html and doc/config.html...<br>

On each machine do...<br>ipsec newhostkey --output /etc/ipsec.secrets --hostname `hostname -f`<br>chmod 0600 /etc/ipsec.secrets<br>ipsec showhostkey --left<br>Copy this output of the above command showhostkey to your ipsec.conf.<br>

<br>ipsec.conf (all indented lines are indented with single tab only not spaces):<br>version 2.0<br><br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces=&quot;ipsec0=eth1&quot; # assuming your using klips and eth1 is interface to internet<br>

<br>include /etc/ipsec.d/examples/no_oe.conf<br><br>conn testorig<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=<a href="http://59.90.235.34">59.90.235.34</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=<a href="http://192.168.100.0/24">192.168.100.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsourceip=<a href="http://192.168.100.1">192.168.100.1</a>? # lan address of openswan gateway<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # RSA nnnn bits&nbsp;&nbsp; <a href="http://hostname.example.net">hostname.example.net</a>&nbsp;&nbsp; ddd mmm dd hh:mm:ss yyyy<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftrsasigkey=0sAQNs...<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=<a href="http://59.90.235.36">59.90.235.36</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=<a href="http://192.168.80.0/24">192.168.80.0/24</a><br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsourceip=<a href="http://192.168.80.1">192.168.80.1</a>? # lan address of openswan gateway<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # RSA nnnn bits&nbsp;&nbsp; <a href="http://hostname.example.net">hostname.example.net</a>&nbsp;&nbsp; ddd mmm dd hh:mm:ss yyyy<br>

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightrsasigkey=0sAQNs...<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=start # add if you want to start/stop manualy, start for always on connections.<br><br>Peter McGill<br>IT Systems Analyst<br>Gra Ham Energy Limited<br><br>&gt; -----Original Message-----<br>

&gt; From: <a href="mailto:users-bounces@openswan.org">users-bounces@openswan.org</a><br>&gt; [mailto:<a href="mailto:users-bounces@openswan.org">users-bounces@openswan.org</a>] On Behalf Of Nirmala Balu<br>&gt; Sent: July 2, 2008 5:30 AM<br>

&gt; To: <a href="mailto:users-request@openswan.org">users-request@openswan.org</a><br>&gt; Cc: <a href="mailto:users@openswan.org">users@openswan.org</a><br>&gt; Subject: [Openswan Users] how to connect openswan to<br>&gt; broadband---full detail!!!<br>

&gt;<br>&gt;&nbsp;&nbsp; My network diagram is shown below.<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; openswan gateway1&lt;-----&gt;modem1&lt;----&gt; internet &lt;-------&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;modem2&lt;--------&gt;openswan gateway2<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; IP addresses:<br>&gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (1)openswan gateway1--192.168.1.102<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (2)modem 1 internal ip address----192.168.1.1<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (3)modem 1 external(static)ip address----59.90.235.34<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (4)modem 2 external(static)ip address----59.90.235.36<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (5)modem 2 internal ip address----192.168.1.1<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (6)openswan gateway 2--192.168.1.2<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;My ipsec.conf and ipsec.conf is given below:<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;IPSEC.CONF<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;-------------------<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;version 2.0<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;config setup<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;interfaces=&quot;ipsec0=eth1&quot;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;plutodebug=all<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;klipsdebug=all<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;uniqueids=yes<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;conn testorig<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;left=<a href="http://192.168.1.102">192.168.1.102</a> &lt;<a href="http://192.168.1.102/">http://192.168.1.102/</a>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ike=aes128-sha-modp8192<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;esp=aes256-sha1<br>&gt;<br>

&gt; - Ignored:<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#leftsubnet=<a href="http://192.169.100.0/24">192.169.100.0/24</a><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;leftnexthop=<a href="http://192.168.1.1">192.168.1.1</a> &lt;<a href="http://192.168.1.1/">http://192.168.1.1/</a>&gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;right=<a href="http://192.168.1.2">192.168.1.2</a> &lt;<a href="http://192.168.1.2/">http://192.168.1.2/</a>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#rightsubnet=<a href="http://192.169.80.0/24">192.169.80.0/24</a><br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rightnexthop=<a href="http://192.168.1.1">192.168.1.1</a> &lt;<a href="http://192.168.1.1/">http://192.168.1.1/</a>&gt;<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;authby=secret<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;pfs=no<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;ikelifetime=1h<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;keylife=1d<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;auto=ignore<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;compress=no<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;rekey=no<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;failureshunt=passthrough<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;auth=esp<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;include /etc/ipsec.d/examples/no_oe<br>&gt; .conf<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;IPSEC.SECRETS<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;--------------------------<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;<a href="http://192.168.1.102">192.168.1.102</a> &lt;<a href="http://192.168.1.102/">http://192.168.1.102/</a>&gt;&nbsp;&nbsp;<a href="http://192.168.1.2">192.168.1.2</a><br>

&gt; &lt;<a href="http://192.168.1.2/">http://192.168.1.2/</a>&gt; : PSK &quot;secret&quot;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;When i gave &quot;up &quot; command ,tunnel is not coming up.<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;[root@vpn1 ~]# ipsec auto --up testorig<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;104 &quot;testorig&quot; #1: STATE_MAIN_I1: initiate<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;010 &quot;testorig&quot; #1: STATE_MAIN_I1: retransmission; will<br>&gt; wait 20s for response<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;In barf message, it is giving following error:<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;&quot;*ERROR: asynchronous network error report on eth1<br>&gt; (sport=500) for message<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;to <a href="http://192.168.1.2">192.168.1.2</a> &lt;<a href="http://192.168.1.2/">http://192.168.1.2/</a>&gt;&nbsp;&nbsp;port 500,<br>

&gt; complainant <a href="http://192.168.1.102">192.168.1.102</a> &lt;<a href="http://192.168.1.102/">http://192.168.1.102/</a>&gt; : No route<br>&gt; to host [errno<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;113, origin ICMP type 3 code 1 (not authenticated)]&quot;*<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;......<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;.....<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:25 vpn1 pluto[4038]: | inserting event<br>&gt; EVENT_RETRANSMIT,<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;timeout in 10 seconds for #1<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:25 vpn1 pluto[4038]: | next event<br>

&gt; EVENT_RETRANSMIT in 10<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;seconds for #1<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: | rejected packet:<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; f1 15 14 43&nbsp;&nbsp;0d 09<br>&gt; 72 48&nbsp;&nbsp;00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;00 00 00 00<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 01 10 02 00&nbsp;&nbsp;00 00<br>&gt; 00 00&nbsp;&nbsp;00 00 00 78<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;0d 00 00 38<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 00 00 00 01&nbsp;&nbsp;00 00<br>&gt; 00 01&nbsp;&nbsp;00 00 00 2c<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;00 01 00 01<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 00 00 00 24&nbsp;&nbsp;00 01<br>&gt; 00 00&nbsp;&nbsp;80 0b 00 01<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;80 0c 0e 10<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 80 01 00 07&nbsp;&nbsp;80 02<br>&gt; 00 02&nbsp;&nbsp;80 03 00 01<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;80 04 00 12<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 80 0e 00 80&nbsp;&nbsp;0d 00<br>&gt; 00 10&nbsp;&nbsp;4f 45 4e 55<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;7a 5e 71 5f<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 6a 7b 61 4a&nbsp;&nbsp;00 00<br>&gt; 00 14&nbsp;&nbsp;af ca d7 13<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;68 a1 f1 c9<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 6b 86 96 fc&nbsp;&nbsp;77 57 01 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: | control:<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 18 00 00 00&nbsp;&nbsp;00 00<br>&gt; 00 00&nbsp;&nbsp;08 00 00 00<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;01 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; c0 a8 01 66&nbsp;&nbsp;c0 a8<br>&gt; 01 66&nbsp;&nbsp;2c 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 0b 00 00 00&nbsp;&nbsp;71 00<br>&gt; 00 00&nbsp;&nbsp;02 03 01 00<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 00 00 00 00&nbsp;&nbsp;02 00<br>&gt; 00 00&nbsp;&nbsp;c0 a8 01 66<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: | name:<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: |&nbsp;&nbsp; 02 00 01 f4&nbsp;&nbsp;c0 a8<br>&gt; 01 02&nbsp;&nbsp;00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;00 00 00 00<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: &quot;testorig&quot; #1: *ERROR:<br>&gt; asynchronous<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;network error report on eth1 (sport=500) for message to<br>

&gt; <a href="http://192.168.1.2">192.168.1.2</a> &lt;<a href="http://192.168.1.2/">http://192.168.1.2/</a>&gt;&nbsp;&nbsp;port<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;500, complainant <a href="http://192.168.1.102">192.168.1.102</a> &lt;<a href="http://192.168.1.102/">http://192.168.1.102/</a>&gt; :<br>

&gt; No route to host [errno 113, origin ICMP<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;type 3 code 1 (not authenticated)]*<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:28 vpn1 pluto[4038]: | next event<br>&gt; EVENT_RETRANSMIT in 7 seconds<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;for #1<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:35 vpn1 pluto[4038]: |<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Jul&nbsp;&nbsp;2 19:45:35 vpn1 pluto[4038]: | *time t<br>&gt;<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;can you tell me what is the mistake in this configuration?????<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;what to do to solve this problem???<br>&gt;<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;thanks in advance,<br>

&gt;&nbsp;&nbsp;&nbsp;&nbsp;Regards,<br>&gt;&nbsp;&nbsp;&nbsp;&nbsp;Nirmala<br>&gt;<br><br></blockquote></div><br>