
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>


<meta http-equiv="content-type" content="text/html; charset=UTF-8">

</head>

<body text="#000066" bgcolor="#ffffff">

Hi All,<br>

<br>

I am running Centos5 (kernel 2.6.18, openswan-2.6.21) as a VPN client

connecting to my Checkpoint firewall authenticating using user

certificates.<br>

<br>

My setup:<br>

conn "Prague"<br>

        left=%defaultroute<br>

        leftcert=ondrejv-unix<br>

        leftrsasigkey=%cert<br>

        leftprotoport=tcp/http<br>

<br>

        right=193.85.188.83<br>

#       rightsubnet=192.168.60.0/24<br>

        rightcert=openswan-cert<br>

        rightrsasigkey=%cert<br>

        rightprotoport=tcp/http<br>

<br>

I am able to establish the tunnel:<br>

<br>

[root@ondar ipsec.d]# ipsec auto --up Prague<br>

104 "Prague" #3: STATE_MAIN_I1: initiate<br>

003 "Prague" #3: received Vendor ID payload

[draft-ietf-ipsec-nat-t-ike-02_n] method set to=106<br>

106 "Prague" #3: STATE_MAIN_I2: sent MI2, expecting MR2<br>

003 "Prague" #3: NAT-Traversal: Result using

draft-ietf-ipsec-nat-t-ike-02/03: no NAT detected<br>

108 "Prague" #3: STATE_MAIN_I3: sent MI3, expecting MR3<br>

004 "Prague" #3: STATE_MAIN_I4: ISAKMP SA established

{auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_sha

group=modp1536}<br>

117 "Prague" #4: STATE_QUICK_I1: initiate<br>

003 "Prague" #4: ignoring informational payload, type

IPSEC_RESPONDER_LIFETIME msgid=f23e7198<br>

004 "Prague" #4: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel

mode {ESP=&gt;0x1ae242ff &lt;0xcf504538 xfrm=3DES_0-HMAC_SHA1

NATOA=none NATD=none DPD=none}<br>

<br>

But now there is a magic as I can not send any packet through the

tunnel. I want to connect to a machine on the network (192.168.60.0)

behind the firewall:<br>

<br>

1) When I keep the 'rightsubnet' option uncommented and try to connect,

firewall blocks the traffic as it does not go via ESP the tunnel<br>

2) If I comment the option 'rightsubnet' out and try the same. Firewall

says:  "encryption failure: Clear text packet should be encrypted"<br>

<br>

Is there any help from someone please?<br>

Is there any way to debug the NETKEY issues (I guess it is related to

NETKEY).<br>

<br>

Many thanks,<br>

Ondrej<br>

<br>

<br>

</body>

</html>