<br><font size=2 face="sans-serif">Hi,</font>
<br>
<br><font size=2 face="sans-serif">as far as I know, also from other devices,
you need to have a separate IPSec SA for each left/right subnet pair.</font>
<br><font size=2 face="sans-serif">E.g. with a Cisco router given the access
list</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; permit
ip 172.16.10.0 0.0.0.255 172.16.30.0 0.0.0.255</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; permit
ip 172.16.10.0 0.0.0.255 172.16.60.0 0.0.0.255</font>
<br><font size=2 face="sans-serif">as a pendant to left/right subnets,
the Cisco device would automatically establish </font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; -
one IPSec SA for 172.16.10.0/24 &lt;=&gt; &nbsp;172.16.30.0/24, and</font>
<br><font size=2 face="sans-serif">&nbsp; &nbsp; &nbsp; &nbsp; -
one IPSec SA for 172.16.10.0/24 &lt;=&gt; &nbsp;172.16.60.0/24</font>
<br>
<br><font size=2 face="sans-serif">I've never been working with FreeS/WAN,
but do you think, FreeS/WAN might have behaved similarly? Can you maybe
check how many IPSEC SAs FreeS/WAN establishes for each of your connections?</font>
<br>
<br><font size=2 face="sans-serif">With Openswan, the only thing that ever
worked for me was configuring a separate connection for each pair of left/right
subnets. Openswan will, then, establish only one ISAKMP SA with the Peer,
but will establish one IPSEC SA per connection defined.... maybe not the
ideal solution.</font>
<br>
<br><font size=2 face="sans-serif">Something that might be worth looking
into would be tunnelling over IPSec:</font>
<br><font size=2 face="sans-serif">you establish a host-to-host IPSec Tunnel,
and inside that IPSEC tunnel you define e.g. a GRE (IP-over-IP- or whatever)
tunnel.</font>
<br><font size=2 face="sans-serif">That tunnelling device, then, can be
used for routing as many subnets as you like without needing to change
the IPSec configuration at all.</font>
<br>
<br><font size=2 face="sans-serif">Best Regards,</font>
<br><font size=2 face="sans-serif">&nbsp; Frank<br>
</font>
<br><font size=2 face="sans-serif">(Please forgive the long signature,
but it's required for company policies).</font>
<br><font size=2 face="sans-serif">Mit freundlichen Grüßen<br>
<br>
Frank Mayer <br>
Computer Technologies Group<br>
-----------------------------<br>
Phone: +43 316 495-5640 <br>
Mobile: +43 664 80495 5640<br>
Fax: +43 316 491 395 <br>
frank.mayer@knapp.com <br>
</font><a href=www.KNAPP.com><font size=2 face="sans-serif">www.KNAPP.com</font></a><font size=2 face="sans-serif">
<br>
-----------------------------<br>
KNAPP Logistik Automation GmbH <br>
Guenter-Knapp-Str. 5-7 <br>
8075 Hart bei Graz, Austria <br>
-----------------------------<br>
Commercial register number: FN 36404k<br>
Commercial register court: Graz<br>
-----------------------------<br>
The information in this e-mail (including any attachment) is confidential
and intended to be for the use of the addressee(s) only. If you have received
the e-mail by mistake, any disclosure, copy, distribution or use of the
contents of the e-mail is prohibited, and you must delete the e-mail from
your system. As e-mail can be changed electronically KNAPP assumes no responsibility
for any alteration to this e-mail or its attachments. KNAPP has taken every
reasonable precaution to ensure that any attachment to this e-mail has
been swept for virus. However, KNAPP does not accept any liability for
damage sustained as a result of such attachment being virus infected and
strongly recommend that you carry out your own virus check before opening
any attachment. <br>
<br>
</font>
<br><tt><font size=2>&gt; ----- Message from Mattias Mattsson &lt;mm4748190@gmail.com&gt;
on Wed, 11<br>
&gt; Feb 2009 09:15:31 -0800 -----</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; To:</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; hiren joshi &lt;joshihirenn@gmail.com&gt;</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; cc:</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; users@openswan.org</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; Subject:</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; Re: [Openswan Users] Hub and spoke routing issue when using Openswan</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; Hi Hiren,<br>
&gt; <br>
&gt; Thanks for your answer.<br>
&gt; <br>
&gt; I tried the configuration you suggested but I cannot get the tunnels<br>
&gt; to establish if the hub does not actually own the subnet being <br>
&gt; configured in ipsec.conf.<br>
&gt; <br>
&gt; Is this kind of setup supported in Openswan? If others have this <br>
&gt; working then maybe my issue lies elsewhere?<br>
&gt; <br>
&gt; Thanks / Mattias<br>
&gt; <br>
</font></tt>
<br><tt><font size=2>&gt; On Wed, Feb 11, 2009 at 2:59 AM, hiren joshi
&lt;joshihirenn@gmail.com&gt; wrote:</font></tt>
<br><tt><font size=2>&gt; Are you sure leftsubnet/rightsubnet configuration
is right?<br>
&gt; I think it should be something like:<br>
&gt; <br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; y'<br>
&gt; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; |<br>
&gt; x' -- X -- Y -- Z -- z'<br>
&gt; <br>
&gt; X(spoke-1):<br>
&gt; leftsubnet x'<br>
&gt; rightsubnect z'<br>
&gt; left X<br>
&gt; right Y<br>
&gt; <br>
&gt; Z(spoke-2):<br>
&gt; leftsubnet z'<br>
&gt; rightsubnect x'<br>
&gt; left Z<br>
&gt; right Y<br>
&gt; <br>
&gt; Y: C-1 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;
&nbsp; &nbsp; &nbsp; &nbsp;Y: C-2<br>
&gt; leftsubnet x' &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;
&nbsp; leftsubnet z'<br>
&gt; rightsubnect z' &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;
rightsubnect x'<br>
&gt; left Y &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;
&nbsp; &nbsp; &nbsp; &nbsp;left Y<br>
&gt; right Z &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;
&nbsp; &nbsp; &nbsp; right X<br>
&gt; <br>
&gt; Regards,<br>
&gt; hiren</font></tt>
<br><tt><font size=2>&gt; <br>
&gt; On Tue, Feb 10, 2009 at 10:09 PM, Mattias Mattsson &lt;mm4748190@gmail.com<br>
&gt; &gt; wrote:<br>
&gt; &gt; Hi All,<br>
&gt; &gt;<br>
&gt; &gt; I'm having a problem when trying to upgrade from FreeS/WAN 1.99
to Openswan<br>
&gt; &gt; 2.6.18 (klips).<br>
&gt; &gt;<br>
&gt; &gt; The setup is a hub and spoke VPN where two spoke sites (B and
C) are<br>
&gt; &gt; connecting into the hub site (A). The protected subnets are all
different<br>
&gt; &gt; (i.e. this is not an 'extruded subnet' setup) and eroutes are
used to route<br>
&gt; &gt; from B to C and vice versa.<br>
&gt; &gt;<br>
&gt; &gt; On each of the spokes, an additional eroute is added with the
local subnet<br>
&gt; &gt; as the source and the other spokes subnet as the destination
and the hub as<br>
&gt; &gt; the gateway.<br>
&gt; &gt;<br>
&gt; &gt; On the hub, two eroutes are added, each having one spoke as the
source and<br>
&gt; &gt; the other spoke as the destination.<br>
&gt; &gt;<br>
&gt; &gt; This works fine when using Freeswan, but when using Openswan
for the hub,<br>
&gt; &gt; the Hub does not even accept the incoming traffic from the spoke,
i.e. if I<br>
&gt; &gt; do a tcpdump on ipsec0 I do not see the incoming traffic.<br>
&gt; &gt;<br>
&gt; &gt; I'm including the configuration for the two setups, as well as
some ping and<br>
&gt; &gt; tcpdump output, note that they have different IP addresses (I
set up two<br>
&gt; &gt; setups to be able to run the tests at the same time). For both
setups, the<br>
&gt; &gt; WAN addresses are on the 192.168.1.x network and the LAN addresses
are on<br>
&gt; &gt; different 172.16.x.x subnets. Also note that in the Openswan
setup, only the<br>
&gt; &gt; hub is using Openswan, the two spokes are still Freeswan.<br>
&gt; &gt;<br>
&gt; &gt; How do I make this work in Openswan?<br>
&gt; &gt;<br>
&gt; &gt; Thanks / Mattias<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; <br>
&gt; -------------------------------------------------------------------------------------------------------------------------------------<br>
&gt; &gt; For the Freeswan setup, the IP addresses are as follows:<br>
&gt; &gt; Hub - 172.16.10.110 - 192.168.1.10<br>
&gt; &gt; Spoke1 - 172.16.30.130 - 192.168.1.30<br>
&gt; &gt; Spoke2 - 172.16.60.160 - 192.168.1.60<br>
&gt; &gt;<br>
&gt; &gt; Hub's ipsec.conf<br>
&gt; &gt; -----------------------<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; klipsdebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutodebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutoload = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutostart = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; uniqueids = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; hidetos = no<br>
&gt; &gt; conn t10to30<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.30<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.10.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.30.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.30<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt; conn t10to60<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.60<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.10.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.60.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.60<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt;<br>
&gt; &gt; Hub's eroutes<br>
&gt; &gt; -----------------------<br>
&gt; &gt; 0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.10.0/24 &nbsp; &nbsp;
-&gt; 172.16.30.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x101b@192.168.1.30<br>
&gt; &gt; 0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.10.0/24 &nbsp; &nbsp;
-&gt; 172.16.60.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x101f@192.168.1.60<br>
&gt; &gt; 26 &nbsp; &nbsp; &nbsp; &nbsp; 172.16.30.0/24 &nbsp; &nbsp; -&gt;
172.16.60.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x101f@192.168.1.60<br>
&gt; &gt; 26 &nbsp; &nbsp; &nbsp; &nbsp; 172.16.60.0/24 &nbsp; &nbsp; -&gt;
172.16.30.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x101b@192.168.1.30<br>
&gt; &gt;<br>
&gt; &gt; Spoke1's ipsec.conf<br>
&gt; &gt; -----------------------<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; klipsdebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutodebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutoload = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutostart = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; uniqueids = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; hidetos = no<br>
&gt; &gt; conn t30to10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.30<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.30.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.10.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.30<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt;<br>
&gt; &gt; Spoke1's eroutes<br>
&gt; &gt; -----------------------<br>
&gt; &gt; 0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.30.0/24 &nbsp; &nbsp;
-&gt; 172.16.10.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1004@192.168.1.10<br>
&gt; &gt; 26 &nbsp; &nbsp; &nbsp; &nbsp; 172.16.30.0/24 &nbsp; &nbsp; -&gt;
172.16.60.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1004@192.168.1.10<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; Spoke2's ipsec.conf<br>
&gt; &gt; -----------------------<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; klipsdebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutodebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutoload = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutostart = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; uniqueids = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; hidetos = no<br>
&gt; &gt; conn t60to10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.60<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.60.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.10.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.60<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.10<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt;<br>
&gt; &gt; Spoke2's eroutes<br>
&gt; &gt; -----------------------<br>
&gt; &gt; 0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.60.0/24 &nbsp; &nbsp;
-&gt; 172.16.10.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1004@192.168.1.10<br>
&gt; &gt; 62 &nbsp; &nbsp; &nbsp; &nbsp; 172.16.60.0/24 &nbsp; &nbsp; -&gt;
172.16.30.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1004@192.168.1.10<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; When pinging from spoke1 to hub:<br>
&gt; &gt; # ping -I 172.16.30.130 172.16.10.110<br>
&gt; &gt; PING 172.16.10.110 (172.16.10.110): 56 data bytes<br>
&gt; &gt; 64 bytes from 172.16.10.110: icmp_seq=0 ttl=64 time=3.2 ms<br>
&gt; &gt; 64 bytes from 172.16.10.110: icmp_seq=1 ttl=64 time=2.3 ms<br>
&gt; &gt;<br>
&gt; &gt; When pinging from spoke1 to spoke2:<br>
&gt; &gt; # ping -I 172.16.30.130 172.16.60.160<br>
&gt; &gt; PING 172.16.60.160 (172.16.60.160): 56 data bytes<br>
&gt; &gt; 64 bytes from 172.16.60.160: icmp_seq=0 ttl=63 time=12.7 ms<br>
&gt; &gt; 64 bytes from 172.16.60.160: icmp_seq=1 ttl=63 time=4.6 ms<br>
&gt; &gt;<br>
&gt; &gt; Tcpdump on spoke1 when pinging from spoke1 to spoke2:<br>
&gt; &gt; # tcpdump -ni ipsec0 icmp<br>
&gt; &gt; tcpdump: listening on ipsec0<br>
&gt; &gt; 00:34:17.262268 172.16.30.130 &gt; 172.16.60.160: icmp: echo
request (DF)<br>
&gt; &gt; 00:34:17.266201 172.16.60.160 &gt; 172.16.30.130: icmp: echo
reply<br>
&gt; &gt;<br>
&gt; &gt; And tcpdump on hub when pinging from spoke1 to spoke2:<br>
&gt; &gt; # tcpdump -ni ipsec0 icmp<br>
&gt; &gt; tcpdump: listening on ipsec0<br>
&gt; &gt; 16:29:56.543048 172.16.30.130 &gt; 172.16.60.160: icmp: echo
request (DF)<br>
&gt; &gt; 16:29:56.543527 172.16.30.130 &gt; 172.16.60.160: icmp: echo
request (DF)<br>
&gt; &gt; 16:29:56.545636 172.16.60.160 &gt; 172.16.30.130: icmp: echo
reply<br>
&gt; &gt; 16:29:56.546168 172.16.60.160 &gt; 172.16.30.130: icmp: echo
reply<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; <br>
&gt; -------------------------------------------------------------------------------------------------------------------------------------<br>
&gt; &gt; For the Openswan setup, the IP addresses are as follows:<br>
&gt; &gt; Hub - 172.16.50.150 - 192.168.1.50<br>
&gt; &gt; Spoke1 - 172.16.40.140 - 192.168.1.40<br>
&gt; &gt; Spoke2 - 172.16.20.120 - 192.168.1.20<br>
&gt; &gt;<br>
&gt; &gt; Hub's ipsec.conf<br>
&gt; &gt; -----------------------<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; klipsdebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutodebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; uniqueids = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; hidetos = no<br>
&gt; &gt; conn t50to40<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.40<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.50.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.40.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.40<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt; conn t50to20<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.20<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.50.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.20.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.20<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt;<br>
&gt; &gt; Hub's eroutes<br>
&gt; &gt; -----------------------<br>
&gt; &gt; 0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.20.0/24 &nbsp; &nbsp;
-&gt; 172.16.40.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1016@192.168.1.40<br>
&gt; &gt; 0 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.40.0/24 &nbsp; &nbsp;
-&gt; 172.16.20.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1014@192.168.1.20<br>
&gt; &gt; 2 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.50.0/24 &nbsp; &nbsp;
-&gt; 172.16.20.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1014@192.168.1.20<br>
&gt; &gt; 12 &nbsp; &nbsp; &nbsp; &nbsp; 172.16.50.0/24 &nbsp; &nbsp; -&gt;
172.16.40.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1016@192.168.1.40<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; Spoke1's ipsec.conf<br>
&gt; &gt; -----------------------<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; klipsdebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutodebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutoload = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutostart = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; uniqueids = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; hidetos = no<br>
&gt; &gt; conn t40to50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.40<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.40.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.50.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.40<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt;<br>
&gt; &gt; Spoke1's eroutes<br>
&gt; &gt; -----------------------<br>
&gt; &gt; 2 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.20.0/24 &nbsp; &nbsp;
-&gt; 172.16.40.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1008@192.168.1.50<br>
&gt; &gt; 2 &nbsp; &nbsp; &nbsp; &nbsp; &nbsp;172.16.20.0/24 &nbsp; &nbsp;
-&gt; 172.16.50.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x1008@192.168.1.50<br>
&gt; &gt;<br>
&gt; &gt; Spoke2's ipsec.conf<br>
&gt; &gt; -----------------------<br>
&gt; &gt; config setup<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; interfaces = &quot;ipsec0=eth1&quot;<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; klipsdebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutodebug = none<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutoload = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; plutostart = %search<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; uniqueids = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; hidetos = no<br>
&gt; &gt; conn t20to50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; type = tunnel<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; left = 192.168.1.20<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; right = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftnexthop = 192.168.1.1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftsubnet = 172.16.20.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightsubnet = 172.16.50.0/24<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auto = start<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyexchange = ike<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; authby = secret<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; auth = esp<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keyingtries = 0<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; esp = AES128-SHA1<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; pfs = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekey = yes<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; leftid = 192.168.1.20<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rightid = 192.168.1.50<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ike = 3DES-SHA-MODP1024<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; ikelifetime = 28800s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; keylife = 86400s<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeymargin = 10m<br>
&gt; &gt; &nbsp; &nbsp; &nbsp; &nbsp; rekeyfuzz = 20%<br>
&gt; &gt;<br>
&gt; &gt; Spoke2's eroutes<br>
&gt; &gt; -----------------------<br>
&gt; &gt; 549 &nbsp; &nbsp; &nbsp; &nbsp;172.16.40.0/24 &nbsp; &nbsp; -&gt;
172.16.20.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x100c@192.168.1.50<br>
&gt; &gt; 12 &nbsp; &nbsp; &nbsp; &nbsp; 172.16.40.0/24 &nbsp; &nbsp; -&gt;
172.16.50.0/24 &nbsp; &nbsp; =&gt;<br>
&gt; &gt; tun0x100c@192.168.1.50<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; When pinging from spoke1 to hub:<br>
&gt; &gt; # ping -I 172.16.20.120 172.16.50.150<br>
&gt; &gt; PING 172.16.50.150 (172.16.50.150): 56 data bytes<br>
&gt; &gt; 64 bytes from 172.16.50.150: icmp_seq=0 ttl=64 time=12.4 ms<br>
&gt; &gt; 64 bytes from 172.16.50.150: icmp_seq=1 ttl=64 time=10.4 ms<br>
&gt; &gt;<br>
&gt; &gt; When pinging from spoke1 to spoke2:<br>
&gt; &gt; # ping -I 172.16.20.120 172.16.40.140<br>
&gt; &gt; PING 172.16.40.140 (172.16.40.140): 56 data bytes<br>
&gt; &gt;<br>
&gt; &gt; --- 172.16.40.140 ping statistics ---<br>
&gt; &gt; 8 packets transmitted, 0 packets received, 100% packet loss<br>
&gt; &gt;<br>
&gt; &gt; Tcpdump on spoke1 when pinging from spoke1 to spoke2:<br>
&gt; &gt; # tcpdump -ni ipsec0 icmp<br>
&gt; &gt; tcpdump: listening on ipsec0<br>
&gt; &gt; 16:33:49.927435 172.16.20.120 &gt; 172.16.40.140: icmp: echo
request (DF)<br>
&gt; &gt; 16:33:50.927440 172.16.20.120 &gt; 172.16.40.140: icmp: echo
request (DF)<br>
&gt; &gt;<br>
&gt; &gt; And tcpdump on hub when pinging from spoke1 to spoke2:<br>
&gt; &gt; # tcpdump -ni ipsec0 icmp<br>
&gt; &gt; tcpdump: listening on ipsec0<br>
&gt; &gt;<br>
&gt; &gt; 0 packets received by filter<br>
&gt; &gt; 0 packets dropped by kernel<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt; I can ping from the hub to spoke2:<br>
&gt; &gt; # ping -I 172.16.50.150 172.16.40.140<br>
&gt; &gt; PING 172.16.40.140 (172.16.40.140): 56 data bytes<br>
&gt; &gt; 64 bytes from 172.16.40.140: icmp_seq=0 ttl=64 time=3.3 ms<br>
&gt; &gt; 64 bytes from 172.16.40.140: icmp_seq=1 ttl=64 time=2.1 ms<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt;<br>
&gt; &gt;</font></tt>
<br><tt><font size=2>&gt; &gt; _______________________________________________<br>
&gt; &gt; Users@openswan.org<br>
&gt; &gt; </font></tt><a href=http://lists.openswan.org/mailman/listinfo/users><tt><font size=2>http://lists.openswan.org/mailman/listinfo/users</font></tt></a><tt><font size=2><br>
&gt; &gt; Building and Integrating Virtual Private Networks with Openswan:<br>
&gt; &gt; </font></tt><a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155"><tt><font size=2>http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</font></tt></a><tt><font size=2><br>
&gt; &gt;<br>
&gt; &gt;</font></tt>
<br><tt><font size=2>&gt; _______________________________________________<br>
&gt; Users@openswan.org<br>
&gt; </font></tt><a href=http://lists.openswan.org/mailman/listinfo/users><tt><font size=2>http://lists.openswan.org/mailman/listinfo/users</font></tt></a><tt><font size=2><br>
&gt; Building and Integrating Virtual Private Networks with Openswan: <br>
&gt; </font></tt><a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155"><tt><font size=2>http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</font></tt></a><tt><font size=2><br>
</font></tt>