
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">Hi guys,<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I have a tunnel already running fine, and I tried to add a second network on my side (to send traffic to the same IP on the other side).<o:p></o:p></p>

<p class="MsoNormal">The ipsec.conf part looks like this:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">conn verizon<o:p></o:p></p>

<p class="MsoNormal">        authby=secret<o:p></o:p></p>

<p class="MsoNormal">        auto=start   <o:p></o:p></p>

<p class="MsoNormal">        ike=3des-md5;modp1024!<o:p></o:p></p>

<p class="MsoNormal">        phase2alg=3des-md5;modp1024<o:p></o:p></p>

<p class="MsoNormal">        #phase2alg=aes128-sha1<o:p></o:p></p>

<p class="MsoNormal">        ikelifetime=8h<o:p></o:p></p>

<p class="MsoNormal">        keylife=1h<o:p></o:p></p>

<p class="MsoNormal">        dpddelay=30<o:p></o:p></p>

<p class="MsoNormal">        dpdtimeout=120<o:p></o:p></p>

<p class="MsoNormal">        dpdaction=restart<o:p></o:p></p>

<p class="MsoNormal">        left=37.58.73.98<o:p></o:p></p>

<p class="MsoNormal">#        leftsubnet=5.153.18.208/30<o:p></o:p></p>

<p class="MsoNormal">        leftsubnets={5.153.18.208/30,5.153.31.8/29}<o:p></o:p></p>

<p class="MsoNormal">        # nexthop is automatically discovered<o:p></o:p></p>

<p class="MsoNormal">        #leftnexthop=37.58.73.97<o:p></o:p></p>

<p class="MsoNormal">        pfs=yes<o:p></o:p></p>

<p class="MsoNormal">        right=193.99.34.196<o:p></o:p></p>

<p class="MsoNormal">        rightsubnet=193.99.34.0/27<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">5.153.18.208 is the class that was already working, and 5.153.31.8/29 is the new one.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">It looks like both are coming up ok:<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":     myip=unset; hisip=unset;<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 30,27; interface: bond1;

<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   dpd: action:restart; delay:30; timeout:120;

<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   newest ISAKMP SA: #0; newest IPsec SA: #2;

<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   aliases: verizon <o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=strict<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   IKE algorithms found:  3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   ESP algorithms wanted: 3DES(3)_000-MD5(1)_000; pfsgroup=MODP1024(2); flags=-strict<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   ESP algorithms loaded: 3DES(3)_192-MD5(1)_128<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/1x0":   ESP algorithm newest: 3DES_000-HMAC_MD5; pfsgroup=MODP1024<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0": 5.153.31.8/29===37.58.73.98<37.58.73.98>[+S=C]...193.99.34.196<193.99.34.196>[+S=C]===193.99.34.0/27; erouted; eroute owner: #3<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":     myip=unset; hisip=unset;<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 29,27; interface: bond1;

<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   dpd: action:restart; delay:30; timeout:120;

<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   newest ISAKMP SA: #1; newest IPsec SA: #3;

<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   aliases: verizon <o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=strict<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   IKE algorithms found:  3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   ESP algorithms wanted: 3DES(3)_000-MD5(1)_000; pfsgroup=MODP1024(2); flags=-strict<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   ESP algorithms loaded: 3DES(3)_192-MD5(1)_128<o:p></o:p></p>

<p class="MsoNormal">000 "verizon/2x0":   ESP algorithm newest: 3DES_000-HMAC_MD5; pfsgroup=MODP1024<o:p></o:p></p>

<p class="MsoNormal">000  <o:p></o:p></p>

<p class="MsoNormal">000 #2: "verizon/1x0":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2840s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate<o:p></o:p></p>

<p class="MsoNormal">000 #2: "verizon/1x0" esp.d2d989e@193.99.34.196 esp.ffb5d820@37.58.73.98 tun.0@193.99.34.196 tun.0@37.58.73.98 ref=0 refhim=4294901761<o:p></o:p></p>

<p class="MsoNormal">000 #3: "verizon/2x0":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2945s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate<o:p></o:p></p>

<p class="MsoNormal">000 #3: "verizon/2x0" esp.d2d989f@193.99.34.196 esp.11ec4529@37.58.73.98 tun.0@193.99.34.196 tun.0@37.58.73.98 ref=0 refhim=4294901761<o:p></o:p></p>

<p class="MsoNormal">000 #1: "verizon/2x0":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 28150s; newest ISAKMP; lastdpd=3s(seq in:26598 out:0); idle; import:admin initiate<o:p></o:p></p>

<p class="MsoNormal">000  <o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">ip xfrm policy<o:p></o:p></p>

<p class="MsoNormal">src 5.153.31.8/29 dst 193.99.34.0/27 <o:p></o:p></p>

<p class="MsoNormal">        dir out priority 2181 ptype main <o:p></o:p></p>

<p class="MsoNormal">        tmpl src 37.58.73.98 dst 193.99.34.196<o:p></o:p></p>

<p class="MsoNormal">                proto esp reqid 16389 mode tunnel<o:p></o:p></p>

<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.31.8/29 <o:p></o:p></p>

<p class="MsoNormal">        dir fwd priority 2181 ptype main <o:p></o:p></p>

<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>

<p class="MsoNormal">                proto esp reqid 16389 mode tunnel<o:p></o:p></p>

<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.31.8/29 <o:p></o:p></p>

<p class="MsoNormal">        dir in priority 2181 ptype main <o:p></o:p></p>

<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>

<p class="MsoNormal">                proto esp reqid 16389 mode tunnel<o:p></o:p></p>

<p class="MsoNormal">src 5.153.18.208/30 dst 193.99.34.0/27 <o:p></o:p></p>

<p class="MsoNormal">        dir out priority 2149 ptype main <o:p></o:p></p>

<p class="MsoNormal">        tmpl src 37.58.73.98 dst 193.99.34.196<o:p></o:p></p>

<p class="MsoNormal">                proto esp reqid 16385 mode tunnel<o:p></o:p></p>

<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.18.208/30 <o:p></o:p></p>

<p class="MsoNormal">        dir fwd priority 2149 ptype main <o:p></o:p></p>

<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>

<p class="MsoNormal">                proto esp reqid 16385 mode tunnel<o:p></o:p></p>

<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.18.208/30 <o:p></o:p></p>

<p class="MsoNormal">        dir in priority 2149 ptype main <o:p></o:p></p>

<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>

<p class="MsoNormal">                proto esp reqid 16385 mode tunnel<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">But when I source traffic from 5.153.31.10 nothing is sent through the tunnel.<o:p></o:p></p>

<p class="MsoNormal">Traffic sourced from 5.153.18.210 flows just fine.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Any idea what might be causing this?<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks,<o:p></o:p></p>

<p class="MsoNormal">Alex<o:p></o:p></p>

</div>

</body>

</html>