<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body text="#000000" bgcolor="#FFFFFF">
In your OpenVPN set up what does this mean:<br>
<br>
<small><small><tt> Should VPN clients have access to
private subnets (non-public networks on the server side)?</tt><tt><br>
</tt><tt> NO No</tt><tt><br>
</tt><tt> NO Yes, using NAT </tt><tt><br>
</tt><tt> CHECK Yes, using routing
(advanced)</tt><tt><br>
</tt></small></small><br>
You probably do not want to use NAT as it will (?) block traffic to
the remote clients. It is probably best to give direct access if you
can.<br>
<br>
<div class="moz-cite-prefix">On 02/07/2014 19:24, Steven Tye wrote:<br>
</div>
<blockquote
cite="mid:SNT406-EAS4140DA20CC1BA4CEE63A6F0B5060@phx.gbl"
type="cite">
<meta http-equiv="Content-Type" content="text/html;
charset=ISO-8859-1">
<meta name="Generator" content="Microsoft Word 15 (filtered
medium)">
<style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Consolas;
panose-1:2 11 6 9 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:12.0pt;
font-family:"Times New Roman","serif";
color:black;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
pre
{mso-style-priority:99;
mso-style-link:"HTML Preformatted Char";
margin:0in;
margin-bottom:.0001pt;
font-size:10.0pt;
font-family:"Courier New";
color:black;}
tt
{mso-style-priority:99;
font-family:"Courier New";}
span.HTMLPreformattedChar
{mso-style-name:"HTML Preformatted Char";
mso-style-priority:99;
mso-style-link:"HTML Preformatted";
font-family:Consolas;
color:black;}
span.EmailStyle20
{mso-style-type:personal;
font-family:"Times New Roman","serif";
color:#1F497D;}
span.EmailStyle21
{mso-style-type:personal-reply;
font-family:"Times New Roman","serif";
color:#993366;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
<div class="WordSection1">
<p class="MsoNormal"><span style="color:#993366">That had no
effect. Still no pings.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#993366"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1
1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span
style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">From:</span></b><span
style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">
Nick Howitt [<a class="moz-txt-link-freetext" href="mailto:nick@howitts.co.uk">mailto:nick@howitts.co.uk</a>] <br>
<b>Sent:</b> Wednesday, July 2, 2014 2:22 PM<br>
<b>To:</b> Steven Tye<br>
<b>Cc:</b> <a class="moz-txt-link-abbreviated" href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><br>
<b>Subject:</b> Re: [Openswan Users] Hub and Spoke issue<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">It is not quite the standard firewall set
up that I am used to and I'm struggling to follow each chain
through. It is a very permissive set up with virtually no DROP
lines and no drop policies.<br>
<br>
You may be able to add a couple of rules:<o:p></o:p></p>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal"><tt><span style="font-size:10.0pt">sudo
iptables -I FORWARD -i tun+ -j ACCEPT</span></tt><br>
<tt><span style="font-size:10.0pt">sudo iptables -I FORWARD
-o tun+ -j ACCEPT</span></tt><o:p></o:p></p>
</blockquote>
<p class="MsoNormal" style="margin-bottom:12.0pt"><br>
To delete the rules change -I to -D.<br>
<br>
There are also marking rules so there may be some interaction
between the firewall and routing tables.<o:p></o:p></p>
<div>
<p class="MsoNormal">On 02/07/2014 18:32, Steven Tye wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<p class="MsoNormal"><span style="color:#1F497D">Found , but
not sure what to look for.</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Oregon:~$
sudo iptables -L</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain INPUT
(policy ACCEPT)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_ACCEPT
all -- anywhere anywhere state
RELATED,ESTABLISHED</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_ACCEPT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_IN_PRE
all -- anywhere anywhere mark
match 0x2000000/0x2000000</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_ACCEPT
udp -- anywhere anywhere state
NEW udp dpt:openvpn</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_ACCEPT
tcp -- anywhere anywhere state
NEW tcp dpt:https</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_WEBACCEPT
all -- anywhere anywhere state
RELATED,ESTABLISHED</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_WEBACCEPT
tcp -- anywhere anywhere state
NEW tcp dpt:943</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain FORWARD
(policy ACCEPT)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_ACCEPT
all -- anywhere anywhere state
RELATED,ESTABLISHED</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_IN_PRE
all -- anywhere anywhere mark
match 0x2000000/0x2000000</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_OUT_S2C
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain OUTPUT
(policy ACCEPT)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_OUT_LOCAL
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_ACCEPT (5 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain AS0_IN
(3 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere 192.168.10.1 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_IN_POST
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_IN_NAT (0 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">MARK
all -- anywhere anywhere MARK or
0x8000000</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_IN_POST (1 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere 192.168.10.0/24 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere 192.168.69.0/24 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere 10.0.0.0/16 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere 172.31.0.0/16 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_OUT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">DROP
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_IN_PRE (2 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_IN
all -- anywhere 192.168.0.0/16 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_IN
all -- anywhere 172.16.0.0/12 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_IN
all -- anywhere 10.0.0.0/8 </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_IN_ROUTE (0 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">MARK
all -- anywhere anywhere MARK or
0x4000000</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain AS0_OUT
(2 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_OUT_POST
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_OUT_LOCAL (1 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">DROP
icmp -- anywhere anywhere icmp
redirect</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_OUT_POST (1 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">DROP
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_OUT_S2C (1 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- 192.168.10.0/24 anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- 192.168.69.0/24 anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- 10.0.0.0/16 anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- 172.31.0.0/16 anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">AS0_OUT
all -- anywhere anywhere </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">Chain
AS0_WEBACCEPT (2 references)</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">target
prot opt source destination </span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D">ACCEPT
all -- anywhere anywhere</span><o:p></o:p></p>
<p class="MsoNormal"><span style="color:#1F497D"> </span><o:p></o:p></p>
<div>
<div style="border:none;border-top:solid #E1E1E1
1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span
style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">From:</span></b><span
style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:windowtext">
Nick Howitt [<a moz-do-not-send="true"
href="mailto:nick@howitts.co.uk">mailto:nick@howitts.co.uk</a>]
<br>
<b>Sent:</b> Wednesday, July 2, 2014 1:22 PM<br>
<b>To:</b> Steven Tye<br>
<b>Cc:</b> <a moz-do-not-send="true"
href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><br>
<b>Subject:</b> Re: [Openswan Users] Hub and Spoke
issue</span><o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"> <o:p></o:p></p>
<p class="MsoNormal" style="margin-bottom:12.0pt">I've just
got home.<br>
<br>
I suggest at this point it is an OpenVPN issue. Splitting
the OpenVPN subnet into two subnets in ipsec.conf serves no
purpose. I'd have to look up the OpenVPN configs to see how
they worked. Also check for firewalling issues. Does the
firewall in Oregon only allow local subnet traffic to
OpenVPN?<br>
<br>
Nick<o:p></o:p></p>
<div>
<p class="MsoNormal">On 02/07/2014 18:13, Steven Tye wrote:<o:p></o:p></p>
</div>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre> <o:p></o:p></pre>
<pre>Yeah so<o:p></o:p></pre>
<pre>192.168.10.1/25<o:p></o:p></pre>
<pre>&<o:p></o:p></pre>
<pre>192.168.10.129/25<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Are the gateways for the OpenVPN networks.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Both are accessible all the way out in Ireland and Sao Paulo.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>However the client cannot be pinged from anywhere except on the Oregon<o:p></o:p></pre>
<pre>server.<o:p></o:p></pre>
<pre>The Client can ping all the way out to Ireland and Sao Paulo though.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Stumped now<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>-----Original Message-----<o:p></o:p></pre>
<pre>From: Steven Tye [<a moz-do-not-send="true" href="mailto:srtye@outlook.com">mailto:srtye@outlook.com</a>] <o:p></o:p></pre>
<pre>Sent: Wednesday, July 2, 2014 12:54 PM<o:p></o:p></pre>
<pre>To: 'Nick Howitt'<o:p></o:p></pre>
<pre>Cc: <a moz-do-not-send="true" href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><o:p></o:p></pre>
<pre>Subject: RE: [Openswan Users] Hub and Spoke issue<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Just found that I can ping 192.168.10.1 which is the virtual<o:p></o:p></pre>
<pre>gateway.......from Ireland.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>-----Original Message-----<o:p></o:p></pre>
<pre>From: Steven Tye [<a moz-do-not-send="true" href="mailto:srtye@outlook.com">mailto:srtye@outlook.com</a>]<o:p></o:p></pre>
<pre>Sent: Wednesday, July 2, 2014 12:40 PM<o:p></o:p></pre>
<pre>To: 'Nick Howitt'<o:p></o:p></pre>
<pre>Cc: <a moz-do-not-send="true" href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><o:p></o:p></pre>
<pre>Subject: RE: [Openswan Users] Hub and Spoke issue<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Traceroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ireland:~$ traceroute 192.168.10.130<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>traceroute to 192.168.10.130 (192.168.10.130), 30 hops max, 60 byte packets<o:p></o:p></pre>
<pre> 1 ip-10-0-0-12.eu-west-1.compute.internal (10.0.0.12) 217.839 ms 217.793<o:p></o:p></pre>
<pre>ms 217.731 ms<o:p></o:p></pre>
<pre> 2 ip-172-31-33-163.eu-west-1.compute.internal (172.31.33.163) 424.701 ms<o:p></o:p></pre>
<pre>424.871 ms 424.831 ms<o:p></o:p></pre>
<pre> 3 * * *<o:p></o:p></pre>
<pre> 4 * * *<o:p></o:p></pre>
<pre> 5 * * *<o:p></o:p></pre>
<pre>..................<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>So it's actually making it to Oregon but not the client.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Oregon<o:p></o:p></pre>
<pre>Oregon:~$ route<o:p></o:p></pre>
<pre>Kernel IP routing table<o:p></o:p></pre>
<pre>Destination Gateway Genmask Flags Metric Ref Use<o:p></o:p></pre>
<pre>Iface<o:p></o:p></pre>
<pre>default 172.31.32.1 0.0.0.0 UG 0 0 0 eth0<o:p></o:p></pre>
<pre>172.31.32.0 * 255.255.240.0 U 0 0 0 eth0<o:p></o:p></pre>
<pre>192.168.10.0 * 255.255.255.128 U 0 0 0<o:p></o:p></pre>
<pre>as0t0<o:p></o:p></pre>
<pre>192.168.10.128 * 255.255.255.128 U 0 0 0<o:p></o:p></pre>
<pre>as0t1<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>I see the way that OpenVPN is separating the 192.168.10.0/24 network in two.<o:p></o:p></pre>
<pre>I wonder if I need to add 192.168.10.0/25 & 192.168.10.128/25 to the<o:p></o:p></pre>
<pre>ipsec.conf files?<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>-----Original Message-----<o:p></o:p></pre>
<pre>From: Steven Tye [<a moz-do-not-send="true" href="mailto:srtye@outlook.com">mailto:srtye@outlook.com</a>]<o:p></o:p></pre>
<pre>Sent: Wednesday, July 2, 2014 12:32 PM<o:p></o:p></pre>
<pre>To: 'Nick Howitt'<o:p></o:p></pre>
<pre>Cc: <a moz-do-not-send="true" href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><o:p></o:p></pre>
<pre>Subject: RE: [Openswan Users] Hub and Spoke issue<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Gotcha...fixed that....<o:p></o:p></pre>
<pre>Here is where are now<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>I can ping from the client all the way to 192.168.69.62 (Ireland) I cannot<o:p></o:p></pre>
<pre>ping the client from SaoPaulo or Ireland<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn SauPaulo-to-Oregon<o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> leftid=54.232.199.31<o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> leftsubnets=10.0.0.0/16,192.168.69.0/24<o:p></o:p></pre>
<pre> right=54.186.82.78<o:p></o:p></pre>
<pre> rightsubnets=172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn SauPaulo-to-Ireland<o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> leftid=54.232.199.31<o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> leftsubnets=10.0.0.0/16,172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> right=54.76.160.103<o:p></o:p></pre>
<pre> rightsubnets=192.168.69.0/24<o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Oregon<o:p></o:p></pre>
<pre>conn Oregon-to-SauPaulo<o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> leftid=54.186.82.78<o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> leftsubnets=172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> right=54.232.199.31<o:p></o:p></pre>
<pre> rightsubnets=10.0.0.0/16,192.168.69.0/24<o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ireland<o:p></o:p></pre>
<pre>conn Ireland-to-SaoPaulo<o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> leftid=54.76.160.103<o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> leftsubnet=192.168.69.0/24<o:p></o:p></pre>
<pre> right=54.232.199.31<o:p></o:p></pre>
<pre> rightsubnets=10.0.0.0/16,172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>-----Original Message-----<o:p></o:p></pre>
<pre>From: Nick Howitt [<a moz-do-not-send="true" href="mailto:nick@howitts.co.uk">mailto:nick@howitts.co.uk</a>]<o:p></o:p></pre>
<pre>Sent: Wednesday, July 2, 2014 12:30 PM<o:p></o:p></pre>
<pre>To: Steven Tye<o:p></o:p></pre>
<pre>Cc: <a moz-do-not-send="true" href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><o:p></o:p></pre>
<pre>Subject: RE: [Openswan Users] Hub and Spoke issue<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>SauPaulo-to-Oregon rightsubnets is missing 192.168.10.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>On 2014-07-02 17:14, Steven Tye wrote:<o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>OpenVPN has this setting<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Routing<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> Should VPN clients have access to private subnets (non-public <o:p></o:p></pre>
<pre>networks on the server side)?<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> NO No<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> NO Yes, using NAT<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>CHECK Yes, using routing (advanced)<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Specify the private subnets to which all clients should be given <o:p></o:p></pre>
<pre>access (as 'network/netmask_bits', one per line)<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>172.31.0.0/16<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>10.0.0.0/16<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>192.168.69.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>192.168.10.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Cleaned up the ipsec.conf as you suggested:<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn SauPaulo-to-Oregon<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftid=54.232.199.31<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftsubnets=10.0.0.0/16,192.168.69.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> right=54.186.82.78<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> rightsubnets=172.31.0.0/16<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn SauPaulo-to-Ireland<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftid=54.232.199.31<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftsubnets=10.0.0.0/16,172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> right=54.76.160.103<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> rightsubnets=192.168.69.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Now I cannot ping from client to/from hub.<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Oregon<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn Oregon-to-SauPaulo<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftid=54.186.82.78<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftsubnets=172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> right=54.232.199.31<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> rightsubnets=10.0.0.0/16,192.168.69.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Ireland<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn Ireland-to-SaoPaulo<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> type=tunnel<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> authby=secret<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> left=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftid=54.76.160.103<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftnexthop=%defaultroute<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftsubnet=192.168.69.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> right=54.232.199.31<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> rightsubnets=10.0.0.0/16,172.31.0.0/16,192.168.10.0/24<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> ike=aes256-sha<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> esp=aes256-sha1<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> pfs=yes<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> auto=start<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>-----Original Message-----<o:p></o:p></pre>
<pre>From: Nick Howitt [<a moz-do-not-send="true" href="mailto:nick@howitts.co.uk">mailto:nick@howitts.co.uk</a>]<o:p></o:p></pre>
<pre>Sent: Wednesday, July 2, 2014 12:03 PM<o:p></o:p></pre>
<pre>To: steve<o:p></o:p></pre>
<pre>Cc: <a moz-do-not-send="true" href="mailto:users@lists.openswan.org">users@lists.openswan.org</a><o:p></o:p></pre>
<pre>Subject: Re: [Openswan Users] Hub and Spoke issue<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>In OpenVPN are you also pushing a route to 192.168.69.0/24?<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Something also looks wrong in your conns. You should have:<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn SauPaulo-to-Oregon<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftsubnets=SauPaulo's_subnets, Ireland's_subnets<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> rightsubnets=Oregon's_subnets<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>conn SauPaulo-to-Ireland<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> leftsubnets=SauPaulo's_subnets, Oregon's_subnets<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre> rightsubnets=Ireland's_subnets<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>You appear to have 192.168.10.0/24 in both Ireland and Oregon<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>Nick<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<pre>On 2014-07-02 16:39, steve wrote:<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>Nick, awesome. I am almost there.<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>I am able to now ping from spoke to spoke. However, I am trying to<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>ping from my client at 192.168.10.0/24 through to Ireland,<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>192.168.69.0/24 and its fails. Should the 192.168.10.0/24 network be<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>added anywhere else?<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre> <o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>Here is my new Hub IPsec.conf<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>Hub<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>conn SauPaulo-to-Oregon<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>type=tunnel<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>authby=secret<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>left=%defaultroute<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>leftid=54.232.199.31<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>leftnexthop=%defaultroute<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>leftsubnets=10.0.0.0/16,192.168.69.0/24<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>right=54.186.82.78<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>rightsubnets=172.31.0.0/16,192.168.10.0/24,192.168.69.0/24<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>ike=aes256-sha<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>esp=aes256-sha1<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>pfs=yes<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>auto=start<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre> <o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>conn SauPaulo-to-Ireland<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>type=tunnel<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>authby=secret<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>left=%defaultroute<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>leftid=54.232.199.31<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>leftnexthop=%defaultroute<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>leftsubnets=10.0.0.0/16,172.31.0.0/16<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>right=54.76.160.103<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>rightsubnets=172.31.0.0/16,192.168.10.0/24,192.168.69.0/24<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>ike=aes256-sha<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>esp=aes256-sha1<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>pfs=yes<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>auto=start<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre> <o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>_______________________________________________<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre><a moz-do-not-send="true" href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a><o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre><a moz-do-not-send="true" href="https://lists.openswan.org/mailman/listinfo/users">https://lists.openswan.org/mailman/listinfo/users</a> [1]<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>Micropayments:<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre><a moz-do-not-send="true" href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a> [2]<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>Building and Integrating Virtual Private Networks with Openswan:<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre> <o:p></o:p></pre>
</blockquote>
<pre><a moz-do-not-send="true" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=2831">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=2831</a><o:p></o:p></pre>
<pre>[3]<o:p></o:p></pre>
<pre> <o:p></o:p></pre>
<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">
<pre>55<o:p></o:p></pre>
</blockquote>
<pre> <o:p></o:p></pre>
<pre>Links:<o:p></o:p></pre>
<pre>------<o:p></o:p></pre>
<pre>[1] <a moz-do-not-send="true" href="https://lists.openswan.org/mailman/listinfo/users">https://lists.openswan.org/mailman/listinfo/users</a><o:p></o:p></pre>
<pre>[2] <a moz-do-not-send="true" href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><o:p></o:p></pre>
<pre>[3]<o:p></o:p></pre>
<pre><a moz-do-not-send="true" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=2831">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=2831</a><o:p></o:p></pre>
</blockquote>
</blockquote>
<p class="MsoNormal"> <o:p></o:p></p>
</blockquote>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</blockquote>
<br>
</body>
</html>