<div dir="ltr"><div><div><div><div><div><div><div>Hi,<br><br></div>I'm trying to inter-connnect two AWS VPCs in different regions.<br><br></div>On one side (let's say in Ireland) I want to have an EC2 instance with software VPN while on the other side (let's say in Oregon) I want to use AWS hardware VPN which provides two tunnels for high availability.<br><br></div><div>I have a problem with setting up two tunnels on software VPN side that run at the same time. Both tunnels as remote subnet point the same CIDR (subnet) what seems to be a problem for OpenSwan/IPsec - while the first tunnel is already running, an attempt of setting up the second tunnel results in:<br><span style="background-color:white" lang="pl"><div style="margin:0px"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Lucida Console" size="2"><span style="font-size:9pt" lang="en-US">ipsec auto --up tunnel-2</span></font></span></font></div>
<div style="margin:0px"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Lucida Console" size="2"><span style="font-size:9pt" lang="en-US">117 "tunnel-2" #3: STATE_QUICK_I1: initiate</span></font></span></font></div>
<div style="margin:0px"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Lucida Console" size="2"><span style="font-size:9pt" lang="en-US">003 "tunnel-2" #3: cannot route -- route already in use for "tunnel-1"</span></font></span></font></div>
<div style="margin:0px"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Lucida Console" size="2"><span style="font-size:9pt" lang="en-US">032 "tunnel-2" #3: STATE_QUICK_I1: internal error</span></font></span></font></div></span><br></div><div><br></div>Let me define what IPs and CIDRs I have on both side:<br><br></div><div>Software VPN side (Ireland):<br></div><div><I-EIP>      // elastic/public IP address<br></div><div><I-CIDR>   // subnet CDIR<br></div><div><br>AWS VPN side (Oregon):<br><O-CIDR>   // subnet CDIR<br><br></div><div>tunnel 1:<br></div><div><O-outside-VPG-1>    // outside IP of Virtual Private Gateway<br><O-inside-VPG-1>      // inside IP of Virtual Private Gateway<br><O-inside-CG-1>        // inside IP of Customer Gateway<br></div><div><br><div>tunnel 2:<br></div><div><O-outside-VPG-2>    // outside IP of Virtual Private Gateway<br><O-inside-VPG-2>      // inside IP of Virtual Private Gateway<br><O-inside-CG-2>        // inside IP of Customer Gateway<br></div><br></div><div><br>And IPsec configuration:<br><br></div><div>tunnel-1<br></div><div>    type=tunnel<br></div><div>    authby=secret<br></div><div>    pfs=yes<br></div><div>    auto=add<br></div><div>    left=<I-EIP></div><div>    leftid=<I-EIP></div><div><div>    leftsubnet=<I-CIDR></div>    leftnexthop=<O-inside-CG-1></div>    right=<O-outside-VPG-1> <br><div><div>    rightnexthop=<O-inside-VPG-1></div><div>    rightsubnet=<O-CIDR></div>    </div><div><div>tunnel-2<br></div><div>    type=tunnel<br></div><div>    authby=secret<br></div><div>    pfs=yes<br></div><div>    auto=add<br></div><div>    left=<I-EIP></div><div>    leftid=<I-EIP></div><div><div>    leftsubnet=<I-CIDR></div>    leftnexthop=<O-inside-CG-2></div>    right=<O-outside-VPG-2> <br><div>    rightnexthop=<O-inside-VPG-2></div><div>    rightsubnet=<O-CIDR></div><br><br></div>Have already someone done something similar?<br></div>Any idea how to overcome this issue?<br><br><span style="background-color:white" lang="pl"><div style="margin:0px"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Verdana,sans-serif" size="2"><span style="font-size:10.5pt" lang="en-US">I found nearly no information on that except the following comment: </span></font><a href="http://permalink.gmane.org/gmane.network.openswan.user/22638" target="_blank"><font face="Verdana,sans-serif" size="2"><span style="font-size:10.5pt" lang="en-US">http://permalink.gmane.org/gmane.network.openswan.user/22638</span></font></a></span></font></div>
<div style="margin:0px"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Verdana,sans-serif" size="2"><span style="font-size:10.5pt" lang="en-US"> </span></font></span></font></div>
<div style="margin:0px" align="justify"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font color="#222222" face="Courier New" size="2"><span style="font-size:10pt" lang="en-US">Both connections are using <a href="http://192.168.3.0/24">192.168.3.0/24</a> as the remote
net</span></font></span></font></div>
<div style="margin:0px" align="justify"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font color="#222222" face="Courier New" size="2"><span style="font-size:10pt" lang="en-US">(rightsubnet) which is why OpenSwan complains. Make
sure each connection</span></font></span></font></div>
<div style="margin:0px" align="justify"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font color="#222222" face="Courier New" size="2"><span style="font-size:10pt" lang="en-US">uses the right remote net for each peer.</span></font></span></font></div></span><br><br><span style="background-color:white" lang="pl"><font face="Times New Roman,serif" size="3"><span style="font-size:12pt"><font face="Verdana,sans-serif" size="2"><span style="font-size:10.5pt" lang="en-US">I’ll be thankful if you could help me to explain that issue.<br><br></span></font></span></font></span></div>regards<br></div>Chris Marcinowicz<br><div><div><div><div><div><div><div><br><br></div></div></div></div></div></div></div></div>