<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body style='font-size: 10pt; font-family: Verdana,Geneva,sans-serif'>
<p>Rather than your "subnets" set up have you considered doing a more usual simple left/rightsubnet and adding a left/rightsourceip (probably 10.22.1.1 and 10.122.3.2). Then remove the HOST1 assignment to lo:0?</p>
<p>Nick</p>
<p>On 2014-04-09 09:15, Cristian Petrescu wrote:</p>
<blockquote type="cite" style="padding-left:5px; border-left:#1010ff 2px solid; margin-left:5px"><!-- html ignored --><!-- head ignored --><!-- meta ignored -->
<pre>Dear Users,
  I've been using OpenSwan CentOS 6.4 ( 2.6.32-358.2.1.el6.x86_64 ) for some time, it works well but from time to time we start experiencing around 2-3% loss on the connection. If we restart both openswan ends the loss goes away, I wasn't able to determine when and why the loss occurs. I've checked /var/log/secure and there isn't anything happening out of normal. I've had problems in the past with ksoftirqd reaching 100% but after setting /proc/sys/net/ipv4/xfrm4_gc_thresh to 100 and installing irqbalance that ksoftirqd was solved. Please help me solve this issue, below is the configuration:

HOST2:
# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#
# Please place your own config files in /etc/ipsec.d/ ending in .conf

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        protostack=netkey
        virtual_private=%v4:10.122.0.0/16
        oe=off
        nhelpers=0

conn host1host2
        dpdaction=restart_by_peer
        dpdtimeout=60
        dpddelay=10
        left=<host2 public ip>
        leftsubnets={10.122.1.1/32,<host2 public ip>/32}
        <a href="mailto:leftid=@host2">leftid=@host2</a>
        leftnexthop=%defaultroute
        right=<host1 public ip>
        rightsubnets={10.122.3.0/24,<host1 public ip>/32}
        <a href="mailto:rightid=@host1">rightid=@host1</a>
        rightnexthop=%defaultroute
        auto=start
        authby=secret
        type=tunnel

On HOST2, 10.122.1.1 is assigned to lo:0
On HOST1, 10.122.3.2 is assigned to a network interface that is gateway for the equipments in that network in order to reach 10.122.1.1
HOST2 and HOST1 have the same ipsec.conf configuration.

Best regards,
Cristi



_______________________________________________
<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a>
<a href="https://lists.openswan.org/mailman/listinfo/users">https://lists.openswan.org/mailman/listinfo/users</a>
Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a>
Building and Integrating Virtual Private Networks with Openswan:
<a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>
</pre>
</blockquote>
</body></html>