<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:#0563C1;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
span.EmailStyle17
        {mso-style-type:personal-compose;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="#0563C1" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi guys,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have a tunnel already running fine, and I tried to add a second network on my side (to send traffic to the same IP on the other side).<o:p></o:p></p>
<p class="MsoNormal">The ipsec.conf part looks like this:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn verizon<o:p></o:p></p>
<p class="MsoNormal">        authby=secret<o:p></o:p></p>
<p class="MsoNormal">        auto=start   <o:p></o:p></p>
<p class="MsoNormal">        ike=3des-md5;modp1024!<o:p></o:p></p>
<p class="MsoNormal">        phase2alg=3des-md5;modp1024<o:p></o:p></p>
<p class="MsoNormal">        #phase2alg=aes128-sha1<o:p></o:p></p>
<p class="MsoNormal">        ikelifetime=8h<o:p></o:p></p>
<p class="MsoNormal">        keylife=1h<o:p></o:p></p>
<p class="MsoNormal">        dpddelay=30<o:p></o:p></p>
<p class="MsoNormal">        dpdtimeout=120<o:p></o:p></p>
<p class="MsoNormal">        dpdaction=restart<o:p></o:p></p>
<p class="MsoNormal">        left=37.58.73.98<o:p></o:p></p>
<p class="MsoNormal">#        leftsubnet=5.153.18.208/30<o:p></o:p></p>
<p class="MsoNormal">        leftsubnets={5.153.18.208/30,5.153.31.8/29}<o:p></o:p></p>
<p class="MsoNormal">        # nexthop is automatically discovered<o:p></o:p></p>
<p class="MsoNormal">        #leftnexthop=37.58.73.97<o:p></o:p></p>
<p class="MsoNormal">        pfs=yes<o:p></o:p></p>
<p class="MsoNormal">        right=193.99.34.196<o:p></o:p></p>
<p class="MsoNormal">        rightsubnet=193.99.34.0/27<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">5.153.18.208 is the class that was already working, and 5.153.31.8/29 is the new one.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">It looks like both are coming up ok:<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":     myip=unset; hisip=unset;<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 30,27; interface: bond1;
<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   dpd: action:restart; delay:30; timeout:120;
<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   newest ISAKMP SA: #0; newest IPsec SA: #2;
<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   aliases: verizon <o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=strict<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   IKE algorithms found:  3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   ESP algorithms wanted: 3DES(3)_000-MD5(1)_000; pfsgroup=MODP1024(2); flags=-strict<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   ESP algorithms loaded: 3DES(3)_192-MD5(1)_128<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/1x0":   ESP algorithm newest: 3DES_000-HMAC_MD5; pfsgroup=MODP1024<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0": 5.153.31.8/29===37.58.73.98<37.58.73.98>[+S=C]...193.99.34.196<193.99.34.196>[+S=C]===193.99.34.0/27; erouted; eroute owner: #3<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":     myip=unset; hisip=unset;<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 29,27; interface: bond1;
<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   dpd: action:restart; delay:30; timeout:120;
<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   newest ISAKMP SA: #1; newest IPsec SA: #3;
<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   aliases: verizon <o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   IKE algorithms wanted: 3DES_CBC(5)_000-MD5(1)_000-MODP1024(2); flags=strict<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   IKE algorithms found:  3DES_CBC(5)_192-MD5(1)_128-MODP1024(2)<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   ESP algorithms wanted: 3DES(3)_000-MD5(1)_000; pfsgroup=MODP1024(2); flags=-strict<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   ESP algorithms loaded: 3DES(3)_192-MD5(1)_128<o:p></o:p></p>
<p class="MsoNormal">000 "verizon/2x0":   ESP algorithm newest: 3DES_000-HMAC_MD5; pfsgroup=MODP1024<o:p></o:p></p>
<p class="MsoNormal">000  <o:p></o:p></p>
<p class="MsoNormal">000 #2: "verizon/1x0":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2840s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate<o:p></o:p></p>
<p class="MsoNormal">000 #2: "verizon/1x0" esp.d2d989e@193.99.34.196 esp.ffb5d820@37.58.73.98 tun.0@193.99.34.196 tun.0@37.58.73.98 ref=0 refhim=4294901761<o:p></o:p></p>
<p class="MsoNormal">000 #3: "verizon/2x0":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2945s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate<o:p></o:p></p>
<p class="MsoNormal">000 #3: "verizon/2x0" esp.d2d989f@193.99.34.196 esp.11ec4529@37.58.73.98 tun.0@193.99.34.196 tun.0@37.58.73.98 ref=0 refhim=4294901761<o:p></o:p></p>
<p class="MsoNormal">000 #1: "verizon/2x0":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 28150s; newest ISAKMP; lastdpd=3s(seq in:26598 out:0); idle; import:admin initiate<o:p></o:p></p>
<p class="MsoNormal">000  <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">ip xfrm policy<o:p></o:p></p>
<p class="MsoNormal">src 5.153.31.8/29 dst 193.99.34.0/27 <o:p></o:p></p>
<p class="MsoNormal">        dir out priority 2181 ptype main <o:p></o:p></p>
<p class="MsoNormal">        tmpl src 37.58.73.98 dst 193.99.34.196<o:p></o:p></p>
<p class="MsoNormal">                proto esp reqid 16389 mode tunnel<o:p></o:p></p>
<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.31.8/29 <o:p></o:p></p>
<p class="MsoNormal">        dir fwd priority 2181 ptype main <o:p></o:p></p>
<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>
<p class="MsoNormal">                proto esp reqid 16389 mode tunnel<o:p></o:p></p>
<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.31.8/29 <o:p></o:p></p>
<p class="MsoNormal">        dir in priority 2181 ptype main <o:p></o:p></p>
<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>
<p class="MsoNormal">                proto esp reqid 16389 mode tunnel<o:p></o:p></p>
<p class="MsoNormal">src 5.153.18.208/30 dst 193.99.34.0/27 <o:p></o:p></p>
<p class="MsoNormal">        dir out priority 2149 ptype main <o:p></o:p></p>
<p class="MsoNormal">        tmpl src 37.58.73.98 dst 193.99.34.196<o:p></o:p></p>
<p class="MsoNormal">                proto esp reqid 16385 mode tunnel<o:p></o:p></p>
<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.18.208/30 <o:p></o:p></p>
<p class="MsoNormal">        dir fwd priority 2149 ptype main <o:p></o:p></p>
<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>
<p class="MsoNormal">                proto esp reqid 16385 mode tunnel<o:p></o:p></p>
<p class="MsoNormal">src 193.99.34.0/27 dst 5.153.18.208/30 <o:p></o:p></p>
<p class="MsoNormal">        dir in priority 2149 ptype main <o:p></o:p></p>
<p class="MsoNormal">        tmpl src 193.99.34.196 dst 37.58.73.98<o:p></o:p></p>
<p class="MsoNormal">                proto esp reqid 16385 mode tunnel<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">But when I source traffic from 5.153.31.10 nothing is sent through the tunnel.<o:p></o:p></p>
<p class="MsoNormal">Traffic sourced from 5.153.18.210 flows just fine.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Any idea what might be causing this?<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks,<o:p></o:p></p>
<p class="MsoNormal">Alex<o:p></o:p></p>
</div>
</body>
</html>