<div dir="ltr">Hi all,<div><br></div><div>Maybe someone can give me a hint here... would appreciate it ;)<br><div><br></div><div>I have to work with two old ip-pbx appliances that can do routing and also have a Openswan based IPSEC function. I say old because Openswan version is 2.4.12, and can not be upgraded. Each of them is geographically apart,  and both are connected to the Internet NAT'ed behind a router. Each IP-PBX appliance has two interface, external (WAN) and internal (LAN). The idea is to have LAN1 talking with LAN2</div>
<div><br></div><div>The scenario is kinda like this: </div><div><br></div><div>LAN1 <-> IPPBX1 <-> NATROUTER1 <- INTERNET -> NATROUTER2 <-> IPPBX2 <-> LAN2</div><div><br></div><div>Now, I can actually establish a tunnel between IPPBX1 and IPPBX2. Port forwardings for 4500 and 500 are configured on both NATROUTER's and both IPPBX's have NAT-T enabled. So far so good.</div>
<div><br></div><div>Problem now is, LAN1 and LAN2 IP's don't talk with each other at all. Not even between the LAN IP on each IPPBX. However, when I do stuff like ping, I can see packets flowing on the external interfaces of each IPPBX (with tcpdump on 4500/UDP), but then they just seem to be blackholed somehow. The firewall on these appliances logs every dropped packet, but no drop is showing.</div>
<div><br></div><div>Any suggestion to troubleshoot / understand this? More below is a snip of the config. I just removed the remote gw public IP address. The configuration is symmetric on the other endpoint.</div><div><br>
</div><div>Thanks in advance. Rgds.</div><div><br></div><div>--- snip ---</div><div><br></div><div><div>version 2</div><div><br></div><div>config setup</div><div>        interfaces=%defaultroute</div><div>        klipsdebug=none</div>
<div>        plutodebug=none</div><div>        plutowait=no</div><div>        uniqueids=yes</div><div>        hidetos=yes</div><div>        nat_traversal=yes</div><div>        keep_alive=20</div><div><br></div><div>conn %default</div>
<div>        keyingtries=0</div><div>        disablearrivalcheck=no</div><div>        leftrsasigkey=%none</div><div>        rightrsasigkey=%none</div><div>        authby=secret</div><div>        auto=add</div><div><br></div>
<div>include /etc/ipsec.d/examples/no_oe.conf</div><div><br></div><div>conn TUNNEL</div><div>        leftsourceip=192.168.1.254</div><div>        left=192.168.8.2</div><div>        esp=3des-md5</div><div>        ikelifetime=1h</div>
<div>        pfsgroup=modp1024</div><div>        pfs=yes</div><div>        aggrmode=yes</div><div>        leftsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a></div><div>        keylife=8h</div><div>        rightid=192.168.100.254</div>
<div>        leftid=192.168.1.254</div><div>        right=yy.yy.yy.yy</div><div>        leftnexthop=192.168.8.1</div><div>        auto=start</div><div>        rightsubnet=<a href="http://192.168.100.0/24">192.168.100.0/24</a></div>
<div>        ike=3des-md5-modp1024</div></div><div><br></div><div><br></div></div></div>