Hi All,<br><br>I&#39;m having a problem when trying to upgrade from FreeS/WAN 1.99 to Openswan 2.6.18 (klips).<br><br>The setup is a hub and spoke VPN where two spoke sites (B and C) are connecting into the hub site (A). The protected subnets are all different (i.e. this is not an &#39;extruded subnet&#39; setup) and eroutes are used to route from B to C and vice versa.<br>
<br>On each of the spokes, an additional eroute is added with the local subnet as the source and the other spokes subnet as the destination and the hub as the gateway.<br><br>On the hub, two eroutes are added, each having one spoke as the source and the other spoke as the destination.<br>
<br>This works fine when using Freeswan, but when using Openswan for the hub, the Hub does not even accept the incoming traffic from the spoke, i.e. if I do a tcpdump on ipsec0 I do not see the incoming traffic. <br><br>I&#39;m including the configuration for the two setups, as well as some ping and tcpdump output, note that they have
different IP addresses (I set up two setups to be able to run the tests
at the same time). For both setups, the WAN addresses are on the
192.168.1.x network and the LAN addresses are on different 172.16.x.x
subnets. Also note that in the Openswan setup, only the hub is using
Openswan, the two spokes are still Freeswan.<br><br>How do I make this work in Openswan?<br><br>Thanks / Mattias<br><br><br><br>-------------------------------------------------------------------------------------------------------------------------------------<br>
For the Freeswan setup, the IP addresses are as follows:<br>Hub - 172.16.10.110 - 192.168.1.10<br>Spoke1 - 172.16.30.130 - 192.168.1.30<br>Spoke2 - 172.16.60.160 - 192.168.1.60<br><br>Hub&#39;s ipsec.conf<br>
-----------------------<br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutoload = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutostart = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos = no<br>conn t10to30<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.30<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.10.0/24">172.16.10.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.30.0/24">172.16.30.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.30<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br>conn t10to60<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.60<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.10.0/24">172.16.10.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.60.0/24">172.16.60.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.60<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br><br>Hub&#39;s eroutes<br>
-----------------------<br>0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.10.0/24">172.16.10.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.30.0/24">172.16.30.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x101b@192.168.1.30">tun0x101b@192.168.1.30</a><br>
0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.10.0/24">172.16.10.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.60.0/24">172.16.60.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x101f@192.168.1.60">tun0x101f@192.168.1.60</a><br>26&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.30.0/24">172.16.30.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.60.0/24">172.16.60.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x101f@192.168.1.60">tun0x101f@192.168.1.60</a><br>
26&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.60.0/24">172.16.60.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.30.0/24">172.16.30.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x101b@192.168.1.30">tun0x101b@192.168.1.30</a><br><br>Spoke1&#39;s ipsec.conf<br>

-----------------------<br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutoload = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutostart = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos = no<br>conn t30to10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.30<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.30.0/24">172.16.30.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.10.0/24">172.16.10.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.30<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br><br>Spoke1&#39;s eroutes<br>
-----------------------<br>0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.30.0/24">172.16.30.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.10.0/24">172.16.10.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1004@192.168.1.10">tun0x1004@192.168.1.10</a><br>
26&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.30.0/24">172.16.30.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.60.0/24">172.16.60.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1004@192.168.1.10">tun0x1004@192.168.1.10</a><br><br><br>Spoke2&#39;s ipsec.conf<br>

-----------------------<br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutoload = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutostart = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos = no<br>conn t60to10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.60<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.60.0/24">172.16.60.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.10.0/24">172.16.10.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.60<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.10<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br><br>Spoke2&#39;s eroutes<br>
-----------------------<br>0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.60.0/24">172.16.60.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.10.0/24">172.16.10.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1004@192.168.1.10">tun0x1004@192.168.1.10</a><br>
62&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.60.0/24">172.16.60.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.30.0/24">172.16.30.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1004@192.168.1.10">tun0x1004@192.168.1.10</a><br><br><br>When pinging from spoke1 to hub:<br>
# ping -I 172.16.30.130 172.16.10.110<br>PING 172.16.10.110 (172.16.10.110): 56 data bytes<br>64 bytes from <a href="http://172.16.10.110">172.16.10.110</a>: icmp_seq=0 ttl=64 time=3.2 ms<br>64 bytes from <a href="http://172.16.10.110">172.16.10.110</a>: icmp_seq=1 ttl=64 time=2.3 ms<br>
<br>When pinging from spoke1 to spoke2:<br># ping -I 172.16.30.130 172.16.60.160<br>PING 172.16.60.160 (172.16.60.160): 56 data bytes<br>64 bytes from <a href="http://172.16.60.160">172.16.60.160</a>: icmp_seq=0 ttl=63 time=12.7 ms<br>
64 bytes from <a href="http://172.16.60.160">172.16.60.160</a>: icmp_seq=1 ttl=63 time=4.6 ms<br><br>Tcpdump on spoke1 when pinging from spoke1 to spoke2:<br># tcpdump -ni ipsec0 icmp<br>tcpdump: listening on ipsec0<br>00:34:17.262268 172.16.30.130 &gt; <a href="http://172.16.60.160">172.16.60.160</a>: icmp: echo request (DF)<br>
00:34:17.266201 172.16.60.160 &gt; <a href="http://172.16.30.130">172.16.30.130</a>: icmp: echo reply<br><br>And tcpdump on hub when pinging from spoke1 to spoke2:<br># tcpdump -ni ipsec0 icmp<br>tcpdump: listening on ipsec0<br>
16:29:56.543048 172.16.30.130 &gt; <a href="http://172.16.60.160">172.16.60.160</a>: icmp: echo request (DF)<br>16:29:56.543527 172.16.30.130 &gt; <a href="http://172.16.60.160">172.16.60.160</a>: icmp: echo request (DF)<br>
16:29:56.545636 172.16.60.160 &gt; <a href="http://172.16.30.130">172.16.30.130</a>: icmp: echo reply<br>16:29:56.546168 172.16.60.160 &gt; <a href="http://172.16.30.130">172.16.30.130</a>: icmp: echo reply<br><br><br>-------------------------------------------------------------------------------------------------------------------------------------<br>

For the Openswan setup, the IP addresses are as follows:<br>Hub - 172.16.50.150 - 192.168.1.50<br>Spoke1 - 172.16.40.140 - 192.168.1.40<br>Spoke2 - 172.16.20.120 - 192.168.1.20<br><br>Hub&#39;s ipsec.conf<br>
-----------------------<br>
config setup<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug = none<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug = none<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos = no<br>
conn t50to40<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.50<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.40<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.50.0/24">172.16.50.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.40.0/24">172.16.40.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.50<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.40<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br>
conn t50to20<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.50<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.20<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.50.0/24">172.16.50.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.20.0/24">172.16.20.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.50<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.20<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br><br>Hub&#39;s eroutes<br>
-----------------------<br>

0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.20.0/24">172.16.20.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.40.0/24">172.16.40.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1016@192.168.1.40">tun0x1016@192.168.1.40</a><br>0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.40.0/24">172.16.40.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.20.0/24">172.16.20.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1014@192.168.1.20">tun0x1014@192.168.1.20</a><br>
2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.50.0/24">172.16.50.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.20.0/24">172.16.20.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1014@192.168.1.20">tun0x1014@192.168.1.20</a><br>12&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.50.0/24">172.16.50.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.40.0/24">172.16.40.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1016@192.168.1.40">tun0x1016@192.168.1.40</a><br>
<br>
<br>
Spoke1&#39;s ipsec.conf<br>

-----------------------<br>
config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutoload = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutostart = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos = no<br>

conn t40to50<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.40<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.50<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.40.0/24">172.16.40.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.50.0/24">172.16.50.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.40<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.50<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br><br>Spoke1&#39;s eroutes<br>
-----------------------<br>

2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.20.0/24">172.16.20.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.40.0/24">172.16.40.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1008@192.168.1.50">tun0x1008@192.168.1.50</a><br>2&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.20.0/24">172.16.20.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.50.0/24">172.16.50.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x1008@192.168.1.50">tun0x1008@192.168.1.50</a><br>
<br>Spoke2&#39;s ipsec.conf<br>
-----------------------<br>config setup<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug = none<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutoload = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutostart = %search<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; uniqueids = yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; hidetos = no<br>conn t20to50<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type = tunnel<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left = 192.168.1.20<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right = 192.168.1.50<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop = 192.168.1.1<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet = <a href="http://172.16.20.0/24">172.16.20.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet = <a href="http://172.16.50.0/24">172.16.50.0/24</a><br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto = start<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange = ike<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby = secret<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth = esp<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyingtries = 0<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; esp = AES128-SHA1<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey = yes<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid = 192.168.1.20<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid = 192.168.1.50<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ike = 3DES-SHA-MODP1024<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; ikelifetime = 28800s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keylife = 86400s<br>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeymargin = 10m<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekeyfuzz = 20%<br><br>Spoke2&#39;s eroutes<br>
-----------------------<br>

549&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.40.0/24">172.16.40.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.20.0/24">172.16.20.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x100c@192.168.1.50">tun0x100c@192.168.1.50</a><br>12&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; <a href="http://172.16.40.0/24">172.16.40.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; -&gt; <a href="http://172.16.50.0/24">172.16.50.0/24</a>&nbsp;&nbsp;&nbsp;&nbsp; =&gt; <a href="mailto:tun0x100c@192.168.1.50">tun0x100c@192.168.1.50</a><br>
<br><br>When pinging from spoke1 to hub:<br># ping -I 172.16.20.120 172.16.50.150<br>PING 172.16.50.150 (172.16.50.150): 56 data bytes<br>64 bytes from <a href="http://172.16.50.150">172.16.50.150</a>: icmp_seq=0 ttl=64 time=12.4 ms<br>
64 bytes from <a href="http://172.16.50.150">172.16.50.150</a>: icmp_seq=1 ttl=64 time=10.4 ms<br><br>
When pinging from spoke1 to spoke2:<br># ping -I 172.16.20.120 172.16.40.140<br>PING 172.16.40.140 (172.16.40.140): 56 data bytes<br><br>--- 172.16.40.140 ping statistics ---<br>8 packets transmitted, 0 packets received, 100% packet loss<br>
<br>Tcpdump on spoke1 when pinging from spoke1 to spoke2:<br># tcpdump -ni ipsec0 icmp<br>tcpdump: listening on ipsec0<br>16:33:49.927435 172.16.20.120 &gt; <a href="http://172.16.40.140">172.16.40.140</a>: icmp: echo request (DF)<br>
16:33:50.927440 172.16.20.120 &gt; <a href="http://172.16.40.140">172.16.40.140</a>: icmp: echo request (DF)<br><br>
And tcpdump on hub when pinging from spoke1 to spoke2:<br># tcpdump -ni ipsec0 icmp<br>tcpdump: listening on ipsec0<br><br>0 packets received by filter<br>0 packets dropped by kernel<br><br><br>I can ping from the hub to spoke2:<br>
# ping -I 172.16.50.150 172.16.40.140<br>PING 172.16.40.140 (172.16.40.140): 56 data bytes<br>64 bytes from <a href="http://172.16.40.140">172.16.40.140</a>: icmp_seq=0 ttl=64 time=3.3 ms<br>64 bytes from <a href="http://172.16.40.140">172.16.40.140</a>: icmp_seq=1 ttl=64 time=2.1 ms<br>
<br><br><br>
<br>