<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=windows-1252"

 http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Paul,<br>

<br>

Disabling nat transversal made it work from all of the workstations

behind the server on the left but the server itself can't ping.  Thanks

for the suggestion.<br>

<br>

Paul Wouters wrote:

<blockquote

 cite="mid:alpine.LFD.1.10.1002161028020.5532@newtla.xelerance.com"

 type="cite">

  <pre wrap="">On Mon, 15 Feb 2010, Michael Leonetti wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">conn sonicwall

        left=(leftip)

        leftsubnet=10.1.1.0/24

        leftid=(leftid)

        right=(rightip)

        rightsubnet=10.10.12.0/24

        rightid=(rightid)

        keyingtries=0

        pfs=no

        aggrmode=yes

        auto=add

        auth=esp

        esp=3des-sha1

        ike=3des-sha1

        authby=secret

        xauth=no

        keyexchange=ike

    </pre>

  </blockquote>

  <pre wrap=""><!---->

  </pre>

  <blockquote type="cite">

    <pre wrap="">fortissimo linux # ipsec auto --up sonicwall

003 "sonicwall" #5: multiple transforms were set in aggressive mode. Only first one used.

003 "sonicwall" #5: transform (5,2,2,0) ignored.

    </pre>

  </blockquote>

  <pre wrap=""><!---->

This log does not match the config above? It claims you have multiple ike= proposals,

instead of just one?

  </pre>

  <blockquote type="cite">

    <pre wrap="">When I try to reach anything in the network:

fortissimo linux # ping 10.10.12.199

PING 10.10.12.199 (10.10.12.199) 56(84) bytes of data.

>From 130.81.12.202 icmp_seq=6 Destination Net Unreachable

    </pre>

  </blockquote>

  <pre wrap=""><!---->

If this is on the server itself, you need to add a leftsourceip= or

use ping -I to ensure packets match your subnet (and not your public ip)

  </pre>

  <blockquote type="cite">

    <pre wrap="">fortissimo linux # ping 10.10.12.1

PING 10.10.12.1 (10.10.12.1) 56(84) bytes of data.

64 bytes from 10.10.12.1: icmp_seq=1 ttl=243 time=21.1 ms

    </pre>

  </blockquote>

  <pre wrap=""><!---->

If the remote server is doing NAT and IPsec, you need to exclude NATing

IPsec packets.

If the remote server is not the default gateway of 10.10.12.199, you might

need to add some routing to those machines.

Paul

  </pre>

</blockquote>

</body>

</html>