<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 12 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hi All,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> I am using openswan-2.6.33 on embedded linux with powerpc processor.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>My network is setup as follows<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> eth0 sat0 sat0 eth0<o:p></o:p></p><p class=MsoNormal> 10.174.101.172/24 ----- 10.174.101.171/24 - 10.0.1.171 -------- sat connection --- 10.0.1.181 - 10.174.102.181/214 -------- 10.174.102.182/24<o:p></o:p></p><p class=MsoNormal> (lan) ( gateway A running opensan) ( gateway B running opensan) (lan)<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> I was able to establish the tunnel between the gateway A nd gateway B. But the packets are not encapsulated for both host-to-host and net-to-net.<o:p></o:p></p><p class=MsoNormal>Did I misss anything in my ipsec.conf file?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>my ipsec.conf file<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn host-to-host<o:p></o:p></p><p class=MsoNormal> left=10.0.1.171 # Local vitals<o:p></o:p></p><p class=MsoNormal> leftid=@xy.example.com<o:p></o:p></p><p class=MsoNormal> leftrsasigkey=0sAQN79stfB6ykPuvtZOxdx76iAshuW14FzlG6J1iRwiXZ6xQyyVNTR8IvyU/4GYPErM7x9zdHw4Xq9vqiR8Tn8IaWV3RGlD5UKKlc+e2HE<o:p></o:p></p><p class=MsoNormal> leftnexthop=10.0.1.181 # correct in many situations<o:p></o:p></p><p class=MsoNormal> right=10.0.1.181 # Remote vitals<o:p></o:p></p><p class=MsoNormal> rightid=@ab.example.com<o:p></o:p></p><p class=MsoNormal> rightrsasigkey=0sAQOn3S8kH0JwpxmJzo5gybC7nG04uhhFV7vZCQjaZF/BsHfLYRBK2iA+zRhKrPcfSGJyzDzNArxx3ZK422xRdT/ujcORL80WXR/Ctc6Y<o:p></o:p></p><p class=MsoNormal> rightnexthop=10.0.1.171 # correct in many situations<o:p></o:p></p><p class=MsoNormal> auto=add # authorizes but doesn't start this connection at startup<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn net-to-net<o:p></o:p></p><p class=MsoNormal> left=10.0.1.171<o:p></o:p></p><p class=MsoNormal> leftsourceip=10.174.101.171<o:p></o:p></p><p class=MsoNormal> leftsubnet=10.174.101.0/24<o:p></o:p></p><p class=MsoNormal> leftid=@xy.example.com<o:p></o:p></p><p class=MsoNormal> leftrsasigkey=0sAQN79stfB6ykPuvtZOxdx76iAshuW14FzlG6J1iRwiXZ6xQyyVNTR8IvyU/4GYPErM7x9zdHw4Xq9vqiR8Tn8IaWV3RGlD5UKKlc+<o:p></o:p></p><p class=MsoNormal> leftnexthop=10.0.1.181<o:p></o:p></p><p class=MsoNormal> right=10.0.1.181<o:p></o:p></p><p class=MsoNormal> #rightsourceip=10.174.101.181<o:p></o:p></p><p class=MsoNormal> rightid=@ab.example.com<o:p></o:p></p><p class=MsoNormal> rightrsasigkey=0sAQOn3S8kH0JwpxmJzo5gybC7nG04uhhFV7vZCQjaZF/BsHfLYRBK2iA+zRhKrPcfSGJyzDzNArxx3ZK422xRdT/ujcORL80WXR/<o:p></o:p></p><p class=MsoNormal> rightnexthop=10.0.1.181<o:p></o:p></p><p class=MsoNormal> auto=add<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>net-to-net connection status<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> 000 using kernel interface: mast<o:p></o:p></p><p class=MsoNormal>000 interface mast0/sat0 fec0::2:0:0:0:5<o:p></o:p></p><p class=MsoNormal>000 interface mast0/eth0 fec0::3:230:d4ff:fe80:a6<o:p></o:p></p><p class=MsoNormal>000 interface mast0/eth0 10.174.101.171<o:p></o:p></p><p class=MsoNormal>000 interface mast0/sat0 10.0.1.171<o:p></o:p></p><p class=MsoNormal>000 %myid = (none)<o:p></o:p></p><p class=MsoNormal>000 debug none<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 virtual_private (%priv):<o:p></o:p></p><p class=MsoNormal>000 - allowed 0 subnets:<o:p></o:p></p><p class=MsoNormal>000 - disallowed 0 subnets:<o:p></o:p></p><p class=MsoNormal>000 WARNING: Either virtual_private= is not specified, or there is a syntax<o:p></o:p></p><p class=MsoNormal>000 error in that line. 'left/rightsubnet=vhost:%priv' will not work!<o:p></o:p></p><p class=MsoNormal>000 WARNING: Disallowed subnets in virtual_private= is empty. If you have<o:p></o:p></p><p class=MsoNormal>000 private address space in internal use, it should be excluded!<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=64, keysizemin=192, keysizemax=192<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=128, keysizemin=128, keysizemax=256<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128<o:p></o:p></p><p class=MsoNormal>000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=22, name=OAKLEY_GROUP_DH22, bits=1024<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=23, name=OAKLEY_GROUP_DH23, bits=2048<o:p></o:p></p><p class=MsoNormal>000 algorithm IKE dh group: id=24, name=OAKLEY_GROUP_DH24, bits=2048<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 "mod-to-rem": 10.0.1.171<10.0.1.171>[@xy.example.com,+S=C]...10.0.1.181<10.0.1.181>[@ab.example.com,+S=C]; unrouted; erou<o:p></o:p></p><p class=MsoNormal>000 "mod-to-rem": myip=unset; hisip=unset;<o:p></o:p></p><p class=MsoNormal>000 "mod-to-rem": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p><p class=MsoNormal>000 "mod-to-rem": policy: RSASIG+ENCRYPT+TUNNEL+PFS+IKEv2ALLOW+SAREFTRACK; prio: 32,32; interface: sat0;<o:p></o:p></p><p class=MsoNormal>000 "mod-to-rem": newest ISAKMP SA: #0; newest IPsec SA: #0;<o:p></o:p></p><p class=MsoNormal>000 "net-to-net": 10.174.101.0/24===10.0.1.171<10.0.1.171>[@xy.example.com,+S=C]...10.0.1.181---10.0.1.181<10.0.1.181>[@ab.ex<o:p></o:p></p><p class=MsoNormal>000 "net-to-net": myip=10.174.101.171; hisip=unset;<o:p></o:p></p><p class=MsoNormal>000 "net-to-net": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p><p class=MsoNormal>000 "net-to-net": policy: RSASIG+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK; prio: 24,32; interface: sat0;<o:p></o:p></p><p class=MsoNormal>000 "net-to-net": newest ISAKMP SA: #1; newest IPsec SA: #2;<o:p></o:p></p><p class=MsoNormal>000 "net-to-net": IKE algorithm newest: AES_CBC_128-SHA1-MODP2048<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal>000 #2: "net-to-net":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 26811s; newest IPSEC; eroute ow<o:p></o:p></p><p class=MsoNormal>000 #2: "net-to-net" esp.dd4d92c8@10.0.1.181 esp.d7ff7f2@10.0.1.171 tun.1001@10.0.1.181 tun.1002@10.0.1.171 ref=3 refhim=1<o:p></o:p></p><p class=MsoNormal>000 #1: "net-to-net":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2130s; newest ISAKMP; lastdpd=-1s(seq in:<o:p></o:p></p><p class=MsoNormal>000<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks<o:p></o:p></p><p class=MsoNormal>Jayasri <o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>