
It&#39;s ok now. Thanks.<br><br><div class="gmail_quote">On Thu, Nov 20, 2008 at 3:12 PM, Peter McGill <span dir="ltr">&lt;<a href="mailto:petermcgill@goco.net">petermcgill@goco.net</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Reza,<br>

<br>

Your firewall rules are wrong, IPSec uses protocol 50 not port 50.<br>

The IPSec permit rules should look like this:<br>

iptables -A INPUT -i eth1 -p 50 -j ACCEPT<br>

iptables -A INPUT -i eth1 -p udp --dport 500 -j ACCEPT<br>

<br>

Did you permit the subnet traffic through your firewall?<br>

You must do that for the traffic to pass.<br>

If using NETKEY:<br>

iptables -A INPUT -i eth1 -s <a href="http://192.168.10.0/24" target="_blank">192.168.10.0/24</a> -j ACCEPT<br>

iptables -A FORWARD -i eth1 -s <a href="http://192.168.10.0/24" target="_blank">192.168.10.0/24</a> -j ACCEPT<br>

If using KLIPS then substitute eth1 for ipsec0.<br>

Or better yet for NETKEY, mark the incoming IPSec packets, then<br>

permit marked packets on INPUT and FORWARD.<br>

<br>

Peter<br>

<br>

Issany Reza wrote:<br>

<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><div class="Ih2E3d">

Hello,<br>

<br>

I&#39;m trying to configure ipsec with a zywall 2 plus router.<br>

I have successfully connect the zywall to my openswan box (debian + openswan).<br>

I&#39;m using NETKEY The server is a server that only have the public interface. I have created new one :<br>

<br>

</div><a href="http://192.168.2.1/24" target="_blank">192.168.2.1/24</a> &lt;<a href="http://192.168.2.1/24" target="_blank">http://192.168.2.1/24</a>&gt; ---- public ip of openswanbox --------- BOX &nbsp;------------------ public ip of zywall --- <a href="http://192.168.10.0/24" target="_blank">192.168.10.0/24</a> &lt;<a href="http://192.168.10.0/24" target="_blank">http://192.168.10.0/24</a>&gt;<div class="Ih2E3d">

<br>

<br>

000 #4: &quot;techvar&quot;:500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27737s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate<br></div>

000 #4: &quot;techvar&quot; <a href="mailto:esp.531534b@217.128.239.227" target="_blank">esp.531534b@217.128.239.227</a> &lt;mailto:<a href="mailto:esp.531534b@217.128.239.227" target="_blank">esp.531534b@217.128.239.227</a>&gt; <a href="mailto:esp.fea97a54@88.191.91.113" target="_blank">esp.fea97a54@88.191.91.113</a> &lt;mailto:<a href="mailto:esp.fea97a54@88.191.91.113" target="_blank">esp.fea97a54@88.191.91.113</a>&gt; <a href="mailto:tun.0@217.128.239.227" target="_blank">tun.0@217.128.239.227</a> &lt;mailto:<a href="mailto:tun.0@217.128.239.227" target="_blank">tun.0@217.128.239.227</a>&gt; <a href="mailto:tun.0@88.191.91.113" target="_blank">tun.0@88.191.91.113</a> &lt;mailto:<a href="mailto:tun.0@88.191.91.113" target="_blank">tun.0@88.191.91.113</a>&gt; ref=0 refhim=4294901761<div class="Ih2E3d">

<br>

000 #1: &quot;techvar&quot;:500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2330s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate<br>

<br>

But, from each side, I can&#39;t ping any of other LAN subnet.<br>

<br>

I I had this route in the zywall :<br>

<br>

Destination<br>

</div><a href="http://192.168.2.0" target="_blank">192.168.2.0</a> &lt;<a href="http://192.168.2.0" target="_blank">http://192.168.2.0</a>&gt; / <a href="http://255.255.255.0" target="_blank">255.255.255.0</a> &lt;<a href="http://255.255.255.0" target="_blank">http://255.255.255.0</a>&gt;<br>


<br>

Gateway<br>

<a href="http://192.168.10.1" target="_blank">192.168.10.1</a> &lt;<a href="http://192.168.10.1" target="_blank">http://192.168.10.1</a>&gt;<br>

<br>

I can ping the server (<a href="http://192.168.2.1" target="_blank">192.168.2.1</a> &lt;<a href="http://192.168.2.1" target="_blank">http://192.168.2.1</a>&gt;).<div class="Ih2E3d"><br>

<br>

If I add this route in the server :<br></div>

route add -net <a href="http://192.168.10.0/24" target="_blank">192.168.10.0/24</a> &lt;<a href="http://192.168.10.0/24" target="_blank">http://192.168.10.0/24</a>&gt; gw <a href="http://192.168.2.1" target="_blank">192.168.2.1</a> &lt;<a href="http://192.168.2.1" target="_blank">http://192.168.2.1</a>&gt;<br>


<br>

I can ping the router (<a href="http://192.168.10.1" target="_blank">192.168.10.1</a> &lt;<a href="http://192.168.10.1" target="_blank">http://192.168.10.1</a>&gt;) but I can&#39;t ping any of PC connected in the subnet <a href="http://192.168.10.0/24" target="_blank">192.168.10.0/24</a> &lt;<a href="http://192.168.10.0/24" target="_blank">http://192.168.10.0/24</a>&gt;<br>


<br>

conn techvar<br>

 &nbsp; &nbsp; &nbsp; &nbsp;#local<br>

 &nbsp; &nbsp; &nbsp; &nbsp;left=<a href="http://88.191.91.113" target="_blank">88.191.91.113</a> &lt;<a href="http://88.191.91.113" target="_blank">http://88.191.91.113</a>&gt;<br>

 &nbsp; &nbsp; &nbsp; &nbsp;leftsubnet=<a href="http://192.168.2.0/24" target="_blank">192.168.2.0/24</a> &lt;<a href="http://192.168.2.0/24" target="_blank">http://192.168.2.0/24</a>&gt;<br>

 &nbsp; &nbsp; &nbsp; &nbsp;leftid=<a href="http://88.191.91.113" target="_blank">88.191.91.113</a> &lt;<a href="http://88.191.91.113" target="_blank">http://88.191.91.113</a>&gt;<div class="Ih2E3d"><br>

 &nbsp; &nbsp; &nbsp; &nbsp;authby=secret<br>

 &nbsp; &nbsp; &nbsp; &nbsp;pfs=yes<br>

 &nbsp; &nbsp; &nbsp; &nbsp;auth=esp<br>

 &nbsp; &nbsp; &nbsp; &nbsp;aggrmode=no<br>

 &nbsp; &nbsp; &nbsp; &nbsp;disablearrivalcheck=no<br>

 &nbsp; &nbsp; &nbsp; &nbsp;esp=3des-md5-96<br>

 &nbsp; &nbsp; &nbsp; &nbsp;# remote<br></div>

 &nbsp; &nbsp; &nbsp; &nbsp;right=<a href="http://217.128.239.227" target="_blank">217.128.239.227</a> &lt;<a href="http://217.128.239.227" target="_blank">http://217.128.239.227</a>&gt;<br>

 &nbsp; &nbsp; &nbsp; &nbsp;rightsubnet=<a href="http://192.168.10.0/24" target="_blank">192.168.10.0/24</a> &lt;<a href="http://192.168.10.0/24" target="_blank">http://192.168.10.0/24</a>&gt;<br>

 &nbsp; &nbsp; &nbsp; &nbsp;rightid=<a href="http://217.128.239.227" target="_blank">217.128.239.227</a> &lt;<a href="http://217.128.239.227" target="_blank">http://217.128.239.227</a>&gt;<div class="Ih2E3d"><br>

 &nbsp; &nbsp; &nbsp; &nbsp;auto=start<br>

<br>

I&#39;m using iptables on the server :<br>

# IPSEC<br>

iptables -A INPUT -i eth1 -p tcp --dport 50 -j ACCEPT<br>

iptables -A INPUT -i eth1 -p tcp --dport 51 -j ACCEPT<br>

iptables -A INPUT -i eth1 -p udp --destination-port 500 -j ACCEPT<br>

<br>

Any idea to solve this probem ?<br>

-- <br>

- reza -<br>

<br>

<br></div>

------------------------------------------------------------------------<br>

<br>

_______________________________________________<br>

<a href="mailto:Users@openswan.org" target="_blank">Users@openswan.org</a><br>

<a href="http://lists.openswan.org/mailman/listinfo/users" target="_blank">http://lists.openswan.org/mailman/listinfo/users</a><br>

Building and Integrating Virtual Private Networks with Openswan: <a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>


</blockquote>

</blockquote></div><br><br clear="all"><br>-- <br>- reza -<br>