<div dir="ltr">Hey all,<br><br>Managed to get a tunnel up between a CentOS 6.6 box and our AWS VPC. It shows as connected both on the box, and in AWS. The problem is routing the traffic from the server. Everything I've tried doesn't seem to have worked, and I'm feeling a little beyond my reach here. Any advice? <br><br>**[USER@SERVER /]# sudo service ipsec status**<br>IPsec running  - pluto pid: 4605<br>pluto pid 4605<br>1 tunnels up<br>some eroutes exist<br><br>**[USER@SERVER /]# ip route**<br><a href="http://10.0.0.0/24">10.0.0.0/24</a> dev eth0  proto kernel  scope link  src 10.0.0.43 <br><a href="http://10.4.0.0/16">10.4.0.0/16</a> via 10.0.0.1 dev eth0  src 10.0.0.43 <br><a href="http://169.254.0.0/16">169.254.0.0/16</a> dev eth0  scope link  metric 1002 <br>default via 10.0.0.1 dev eth0 <br><br>**[USER@SERVER /]# ip xfrm policy**<br>src <a href="http://10.0.0.0/24">10.0.0.0/24</a> dst <a href="http://10.4.0.0/16">10.4.0.0/16</a> <br>dir out priority 2352 ptype main <br>tmpl src 10.0.0.43 dst 71.XX.XXX.XXX<br>proto esp reqid 16385 mode tunnel<br>src <a href="http://10.4.0.0/16">10.4.0.0/16</a> dst <a href="http://10.0.0.0/24">10.0.0.0/24</a> <br>dir fwd priority 2352 ptype main <br>tmpl src 71.XX.XX.XXX  dst 10.0.0.43<br>proto esp reqid 16385 mode tunnel<br>src <a href="http://10.4.0.0/16">10.4.0.0/16</a> dst <a href="http://10.0.0.0/24">10.0.0.0/24</a> <br>dir in priority 2352 ptype main <br>tmpl src 71.XX.XX.XXX  dst 10.0.0.43<br>proto esp reqid 16385 mode tunnel<br><br>**[USER@SERVER /]# ipsec verify**<br>Checking your system to see if IPsec got installed and started correctly:<br>Version check and ipsec on-path                             [OK]<br>Linux Openswan U2.6.32/K2.6.32-504.el6.i686 (netkey)<br>Checking for IPsec support in kernel                            [OK]<br> SAref kernel support                                       [N/A]<br> NETKEY:  Testing for disabled ICMP send_redirects              [OK]<br>NETKEY detected, testing for disabled ICMP accept_redirects [OK]<br>Testing against enforced SElinux mode                       [OK]<br>Checking that pluto is running                                  [OK]<br> Pluto listening for IKE on udp 500                         [OK]<br> Pluto listening for NAT-T on udp 4500                          [OK]<br>Checking for 'ip' command                                   [OK]<br>Checking /bin/sh is not /bin/dash                           [OK]<br>Checking for 'iptables' command                             [OK]<br>Opportunistic Encryption Support                                [DISABLED]<br><br>**ipsec.conf**<br>        protostack=netkey<br>        nat_traversal=yes<br>        virtual_private=<a href="http://10.0.0.0/24">10.0.0.0/24</a><br>        oe=off<br><br>**tunnel.conf**<br><br>conn aws<br><br>    type=tunnel<br>    authby=secret<br>    left=%defaultroute<br>    leftid=171.X.XX.XX           <----Office Ext IP of Server<br>    leftnexthop=%defaultroute<br>    leftsubnet=<a href="http://10.0.0.0/24">10.0.0.0/24</a>       <----Internal subnet<br>    right=71.XX.XX.XXX           <----AWS Ext VPC Gateway<br>    rightsubnet=<a href="http://10.4.0.0/16">10.4.0.0/16</a>      <----AWS Internal Subnet<br>    phase2=esp<br>    phase2alg=aes128-sha1<br>    ike=aes128-sha1<br>    ikelifetime=28800s<br>    salifetime=3600s<br>    pfs=yes<br>    auto=start<br>    rekey=yes<br>    keyingtries=%forever<br>    dpddelay=10<br>    dpdtimeout=60<br>    dpdaction=restart_by_peer<br><br>**tunnel.secrets**<br>171.X.XX.XX  71.XX.XX.XXX: PSK "XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"<br><br>**IPTables rules added for IPSec Traffic**<br><br>iptables -A INPUT -i eth0 -p 50 -j ACCEPT<br>iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT<br>iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT<br>iptables -A INPUT -i eth0 -p 51 -j ACCEPT<br>iptables -A INPUT -i eth0 -p udp -m policy --dir in --pol ipsec -m udp --dport 1701 -j ACCEPT<br><br>**[USER@SERVER /]# ipsec verify**<br>000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,2,36} trans={0,2,1536} attrs={0,2,2048} <br>000  <br>000 "aws": <a href="http://10.0.0.0/24===10.0.0.43[171.X.XX.73,+S=C]---10.0.0.1...71.XX.XX.XXX">10.0.0.0/24===10.0.0.43[171.X.XX.73,+S=C]---10.0.0.1...71.XX.XX.XXX</a><71.XX.XX.XXX>[+S=C]===<a href="http://10.4.0.0/16">10.4.0.0/16</a>; erouted; eroute owner: #2<br>000 "aws":     myip=10.0.0.43; hisip=unset;<br>000 "aws":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes <br>000 "aws":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,16; interface: eth0; <br>000 "aws":   dpd: action:restart_by_peer; delay:10; timeout:60;<br>000 "aws":   newest ISAKMP SA: #1; newest IPsec SA: #2; <br>000 "aws":   IKE algorithms wanted: AES_CBC(7)_128-SHA1(2)_000-MODP1536(5), AES_CBC(7)_128-SHA1(2)_000-MODP1024(2)<br>000 "aws":   IKE algorithms found:  AES_CBC(7)_128-SHA1(2)_160-MODP1536(5), AES_CBC(7)_128-SHA1(2)_160-MODP1024(2)<br>000 "aws":   IKE algorithm newest: AES_CBC_128-SHA1-MODP1024<br>000 "aws":   ESP algorithms wanted: AES(12)_128-SHA1(2)_000<br>000 "aws":   ESP algorithms loaded: AES(12)_128-SHA1(2)_160<br>000 "aws":   ESP algorithm newest: AES_128-HMAC_SHA1; pfsgroup=<Phase1><br>000  <br>000 #2: "aws":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 1978s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate<br>000 #2: "aws" esp.6e00a5b@71.XX.XXX.XXX <a href="mailto:esp.8a07a523@10.0.0.43">esp.8a07a523@10.0.0.43</a> tun.0@71.XX.XX.XXX <a href="mailto:tun.0@10.0.0.43">tun.0@10.0.0.43</a> ref=0 refhim=4294901761<br>000 #1: "aws":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 26936s; newest ISAKMP; lastdpd=8s(seq in:2113 out:0); idle; import:admin initiate<br><br></div>