<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hi All,<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>&nbsp;&nbsp; I am using &nbsp;openswan-2.6.33 on embedded linux with powerpc processor.<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>My network is setup as follows<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; eth0 &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; sat0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;  sat0&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;eth0<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; 10.174.101.172/24 ----- 10.174.101.171/24&nbsp;&nbsp;&nbsp; -&nbsp;&nbsp; 10.0.1.171&nbsp;&nbsp; -------- &nbsp;sat connection &nbsp;---&nbsp; 10.0.1.181&nbsp; - 10.174.102.181/214 -------- 10.174.102.182/24<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp; (lan)&nbsp;&nbsp;&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (&nbsp; gateway A running opensan)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (&nbsp; gateway B running opensan)&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; (lan)<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal> I was able to establish the tunnel between the gateway A nd gateway B. &nbsp;But the packets are not encapsulated for both host-to-host and net-to-net.<o:p></o:p></p><p class=MsoNormal>Did I misss anything in my ipsec.conf file?<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>my ipsec.conf file<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>conn host-to-host<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; left=10.0.1.171&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Local vitals<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; leftid=@xy.example.com<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; leftrsasigkey=0sAQN79stfB6ykPuvtZOxdx76iAshuW14FzlG6J1iRwiXZ6xQyyVNTR8IvyU/4GYPErM7x9zdHw4Xq9vqiR8Tn8IaWV3RGlD5UKKlc+e2HE<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; leftnexthop=10.0.1.181&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # correct in many situations<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; right=10.0.1.181&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Remote vitals<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; rightid=@ab.example.com<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; rightrsasigkey=0sAQOn3S8kH0JwpxmJzo5gybC7nG04uhhFV7vZCQjaZF/BsHfLYRBK2iA+zRhKrPcfSGJyzDzNArxx3ZK422xRdT/ujcORL80WXR/Ctc6Y<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; rightnexthop=10.0.1.171&nbsp;&nbsp;&nbsp;&nbsp; # correct in many situations<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp; auto=add&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # authorizes but doesn't start this&nbsp; connection at startup<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>conn net-to-net<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=10.0.1.171<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsourceip=10.174.101.171<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=10.174.101.0/24<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid=@xy.example.com<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftrsasigkey=0sAQN79stfB6ykPuvtZOxdx76iAshuW14FzlG6J1iRwiXZ6xQyyVNTR8IvyU/4GYPErM7x9zdHw4Xq9vqiR8Tn8IaWV3RGlD5UKKlc+<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=10.0.1.181<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=10.0.1.181<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #rightsourceip=10.174.101.181<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid=@ab.example.com<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightrsasigkey=0sAQOn3S8kH0JwpxmJzo5gybC7nG04uhhFV7vZCQjaZF/BsHfLYRBK2iA+zRhKrPcfSGJyzDzNArxx3ZK422xRdT/ujcORL80WXR/<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightnexthop=10.0.1.181<o:p></o:p></p><p class=MsoNormal>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>net-to-net connection status<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal> 000 using kernel interface: mast<o:p></o:p></p><p class=MsoNormal>000 interface mast0/sat0 fec0::2:0:0:0:5<o:p></o:p></p><p class=MsoNormal>000 interface mast0/eth0 fec0::3:230:d4ff:fe80:a6<o:p></o:p></p><p class=MsoNormal>000 interface mast0/eth0 10.174.101.171<o:p></o:p></p><p class=MsoNormal>000 interface mast0/sat0 10.0.1.171<o:p></o:p></p><p class=MsoNormal>000 %myid = (none)<o:p></o:p></p><p class=MsoNormal>000 debug none<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 virtual_private (%priv):<o:p></o:p></p><p class=MsoNormal>000 - allowed 0 subnets:<o:p></o:p></p><p class=MsoNormal>000 - disallowed 0 subnets:<o:p></o:p></p><p class=MsoNormal>000 WARNING: Either virtual_private= is not specified, or there is a syntax<o:p></o:p></p><p class=MsoNormal>000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; error in that line. 'left/rightsubnet=vhost:%priv' will not work!<o:p></o:p></p><p class=MsoNormal>000 WARNING: Disallowed subnets in virtual_private= is empty. If you have<o:p></o:p></p><p class=MsoNormal>000&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; private address space in internal use, it should be excluded!<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=64, keysizemin=192, keysizemax=192<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=128, keysizemin=128, keysizemax=256<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 &quot;mod-to-rem&quot;: 10.0.1.171&lt;10.0.1.171&gt;[@xy.example.com,+S=C]...10.0.1.181&lt;10.0.1.181&gt;[@ab.example.com,+S=C]; unrouted; erou<o:p></o:p></p><p class=MsoNormal>000 &quot;mod-to-rem&quot;:&nbsp;&nbsp;&nbsp;&nbsp; myip=unset; hisip=unset;<o:p></o:p></p><p class=MsoNormal>000 &quot;mod-to-rem&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p><p class=MsoNormal>000 &quot;mod-to-rem&quot;:&nbsp;&nbsp; policy: RSASIG+ENCRYPT+TUNNEL+PFS+IKEv2ALLOW+SAREFTRACK; prio: 32,32; interface: sat0;<o:p></o:p></p><p class=MsoNormal>000 &quot;mod-to-rem&quot;:&nbsp;&nbsp; newest ISAKMP SA: #0; newest IPsec SA: #0;<o:p></o:p></p><p class=MsoNormal>000 &quot;net-to-net&quot;: 10.174.101.0/24===10.0.1.171&lt;10.0.1.171&gt;[@xy.example.com,+S=C]...10.0.1.181---10.0.1.181&lt;10.0.1.181&gt;[@ab.ex<o:p></o:p></p><p class=MsoNormal>000 &quot;net-to-net&quot;:&nbsp;&nbsp;&nbsp;&nbsp; myip=10.174.101.171; hisip=unset;<o:p></o:p></p><p class=MsoNormal>000 &quot;net-to-net&quot;:&nbsp;&nbsp; ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p><p class=MsoNormal>000 &quot;net-to-net&quot;:&nbsp;&nbsp; policy: RSASIG+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK; prio: 24,32; interface: sat0;<o:p></o:p></p><p class=MsoNormal>000 &quot;net-to-net&quot;:&nbsp;&nbsp; newest ISAKMP SA: #1; newest IPsec SA: #2;<o:p></o:p></p><p class=MsoNormal>000 &quot;net-to-net&quot;:&nbsp;&nbsp; IKE algorithm newest: AES_CBC_128-SHA1-MODP2048<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 #2: &quot;net-to-net&quot;:500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 26811s; newest IPSEC; eroute ow<o:p></o:p></p><p class=MsoNormal>000 #2: &quot;net-to-net&quot; esp.dd4d92c8@10.0.1.181 esp.d7ff7f2@10.0.1.171 tun.1001@10.0.1.181 tun.1002@10.0.1.171 ref=3 refhim=1<o:p></o:p></p><p class=MsoNormal>000 #1: &quot;net-to-net&quot;:500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2130s; newest ISAKMP; lastdpd=-1s(seq in:<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal>Thanks<o:p></o:p></p><p class=MsoNormal>Jayasri <o:p></o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p><p class=MsoNormal><o:p>&nbsp;</o:p></p></div></body></html>