<div dir="ltr">Yes /16 is correct follow the "right"-side-guys' rules. I am not sure this is supported config, as I wrote in my first letter, so I decided to ask more experienced folks and (will hope) developers for that.<div><br></div><div>Regarding KLIPS - I'd like to use it, but this comment from default ipsec.conf states I cannot:</div><div># For Red Hat Enterprise Linux and Fedora, leave protostack=netkey<br></div><div><br></div><div>(And I really tried to enable it before asking for help here. Without any success)</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">Kind regards,<div>Dmitry Chirikov</div></div></div></div>
<br><div class="gmail_quote">On 4 December 2014 at 23:00, Neal Murphy <span dir="ltr"><<a href="mailto:neal.p.murphy@alum.wpi.edu" target="_blank">neal.p.murphy@alum.wpi.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thursday, December 04, 2014 04:31:59 PM Dmitry Chirikov wrote:<br>
> For some reason, I can't:<br>
> 000 "CONN/0x1": <a href="http://10.12.3.0/24===local" target="_blank">10.12.3.0/24===local</a><local>[+S=C]...remote<remote>[+S=C]===<br>
> <a href="http://10.12.0.0/24" target="_blank">10.12.0.0/24</a>; unrouted; eroute owner: #0<br>
> 000 "CONN/0x2": <a href="http://10.12.3.0/24===local" target="_blank">10.12.3.0/24===local</a><local>[+S=C]...remote<remote>[+S=C]===<br>
> <a href="http://10.12.1.0/24" target="_blank">10.12.1.0/24</a>; unrouted; eroute owner: #0<br>
> 000 "CONN/0x3": <a href="http://10.12.3.0/24===local" target="_blank">10.12.3.0/24===local</a><local>[+S=C]...remote<remote>[+S=C]===<br>
> <a href="http://10.12.2.0/24" target="_blank">10.12.2.0/24</a>; unrouted; eroute owner: #0<br>
><br>
> May be that is because left and right configs are not in sync now.<br>
<br>
</span>Most likely; both sides must agree.<br>
<br>
Wait. Is that /16 really correct? Should rightsubnet be <a href="http://10.12.0.0/22" target="_blank">10.12.0.0/22</a>? This<br>
address would encompass <a href="http://10.12.0.0/24" target="_blank">10.12.0.0/24</a>, <a href="http://10.12.1.0/24" target="_blank">10.12.1.0/24</a>, <a href="http://10.12.2.0/24" target="_blank">10.12.2.0/24</a> and<br>
<a href="http://10.20.3.0/24" target="_blank">10.20.3.0/24</a>.<br>
<br>
That confusion aside, do you need a policy that specifically targets traffic<br>
between <a href="http://10.12.3.0/24" target="_blank">10.12.3.0/24</a> and <a href="http://10.12.3.0/24" target="_blank">10.12.3.0/24</a> so that such traffic is *not* tunnelled?<br>
<br>
Or use KLIPS and normal routing....<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
<a href="mailto:Users@lists.openswan.org">Users@lists.openswan.org</a><br>
<a href="https://lists.openswan.org/mailman/listinfo/users" target="_blank">https://lists.openswan.org/mailman/listinfo/users</a><br>
Micropayments: <a href="https://flattr.com/thing/38387/IPsec-for-Linux-made-easy" target="_blank">https://flattr.com/thing/38387/IPsec-for-Linux-made-easy</a><br>
Building and Integrating Virtual Private Networks with Openswan:<br>
<a href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155" target="_blank">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a><br>
</div></div></blockquote></div><br></div>