<div dir="ltr">Hello,<div><br></div><div>As a follow up.</div><div>When bootstrapping the system, I got the tunnel working fine but it seems after some time configuration is going messy as a transport entry is added.</div><div><br></div><div>Did again yesterday. was working fine but not anymore this morning.</div><div><br></div><div>Configuration was unchanged</div><div>but ip xfrm policy was</div><div><br></div><div><div>From (ok)</div><div><br></div><div>+ ip xfrm policy</div><div>src 10.x.y.0/24 dst 192.168.z.0/24 </div><div><span style="white-space:pre-wrap">        </span>dir out priority 2344 </div><div><span style="white-space:pre-wrap">  </span>tmpl src a.b.c.202 dst e.f.g.12</div><div><span style="white-space:pre-wrap">          </span>proto esp reqid 16385 mode tunnel</div><div>src 192.168.z.0/24 dst 10.x.y.0/24 </div><div><span style="white-space:pre-wrap">     </span>dir fwd priority 2344 </div><div><span style="white-space:pre-wrap">  </span>tmpl src e.f.g.12 dst a.b.c.202</div><div><span style="white-space:pre-wrap">          </span>proto esp reqid 16385 mode tunnel</div><div>src 192.168.z.0/24 dst 10.x.y.0/24 </div><div><span style="white-space:pre-wrap">     </span>dir in priority 2344 </div><div><span style="white-space:pre-wrap">   </span>tmpl src e.f.g.12 dst a.b.c.202</div><div><span style="white-space:pre-wrap">          </span>proto esp reqid 16385 mode tunnel</div><div>src ::/0 dst ::/0 </div><div><span style="white-space:pre-wrap">      </span>socket out priority 0 </div><div><br></div><div>To (nok)</div><div><br></div><div>+ ip xfrm policy</div><div>src 10.x.y.0/24 dst 192.168.z.0/24 </div><div><span style="white-space:pre-wrap">       </span>dir out priority 2344 </div><div><span style="white-space:pre-wrap">  </span>tmpl src a.b.c.202 dst e.f.g.12</div><div><span style="white-space:pre-wrap">          </span>proto comp reqid 16386 mode tunnel              <<<</div><div><span style="white-space:pre-wrap">      </span>tmpl src 0.0.0.0 dst 0.0.0.0                                               <<<</div><div><span style="white-space:pre-wrap">           </span>proto esp reqid 16385 mode transport           <<<</div><div>src 192.168.z.0/24 dst 10.x.y.0/24 </div><div><span style="white-space:pre-wrap">      </span>dir fwd priority 2344 </div><div><span style="white-space:pre-wrap">  </span>tmpl src e.f.g.12 dst a.b.c.202</div><div><span style="white-space:pre-wrap">          </span>proto esp reqid 16385 mode tunnel</div><div>src 192.168.z.0/24 dst 10.x.y.0/24 </div><div><span style="white-space:pre-wrap">     </span>dir in priority 2344 </div><div><span style="white-space:pre-wrap">   </span>tmpl src e.f.g.12 dst a.b.c.202</div><div><span style="white-space:pre-wrap">          </span>proto esp reqid 16385 mode tunnel</div><div>src ::/0 dst ::/0 </div><div><span style="white-space:pre-wrap">      </span>socket out priority 0 </div><div><br></div><div><br></div><div>As a reminder, configuration </div><div><br></div><div>config setup</div><div>    nat_traversal=yes</div><div>    oe=off</div><div>    protostack=netkey</div><div>    plutoopts="--perpeerlog"</div><div>    virtual_private=%v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.x.y.0/24,%v4:!192.168.z.0/24" target="_blank">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:!10.x.y.0/24,%v4:!192.168.z.0/24</a></div><div><br></div><div>conn cloud-par-tunnel</div><div>    authby=secret</div><div>    pfs=yes</div><div>    auto=add</div><div>    keyingtries=3</div><div>    dpddelay=30</div><div>    dpdtimeout=120</div><div>    dpdaction=clear</div><div>    rekey=yes</div><div>    ikelifetime=8h</div><div>    keylife=1h</div><div>    type=tunnel</div><div>    left=a.b.c.202</div><div>    leftsourceip=10.x.y.1</div><div>    leftsubnet=10.x.y.0/24</div><div>    right=e.f.g.12</div><div>    rightsourceip=192.168.z.1</div><div>    rightsubnet=192.168.z.0/24</div><div>    compress=yes</div><div>    forceencaps=yes</div></div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">2015-12-29 8:42 GMT-05:00 Julien <span dir="ltr"><<a href="mailto:julien.t43+openswan@gmail.com" target="_blank">julien.t43+openswan@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><span style="font-size:12.8px">Hello,</span><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I'm trying to setup an ipsec tunnel between a linux and an operator modem.</div><div style="font-size:12.8px">Linux is Ubuntu trusty based with openswan. no iptables currently</div><div style="font-size:12.8px">Operator box is proprietary, ipsec only (no xl2tpd)</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I started doing my setup with the following ansible role</div><div style="font-size:12.8px"><a href="https://github.com/ahelal/ansible-l2tp_ipsec" target="_blank">https://github.com/ahelal/ansible-l2tp_ipsec</a><br></div><div style="font-size:12.8px">I customized it to operate as tunnel mode without l2tp part.</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">Tunnel established correctly (got the 'STATE_QUICK_R2: IPsec SA established tunnel mode')and sometime, it works/pings fine... but most of the time, it seems there is a routing issue</div><div style="font-size:12.8px">why?</div><div style="font-size:12.8px">because I see packets coming one way with tcpdump but not leaving the linux box</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">also 'ip xfrm policy' returns both tunnel and transport link for one src-dst couple...</div><div style="font-size:12.8px"><div>+ ip xfrm policy</div><div>src 10.x.y.0/24 dst 192.168.z.0/24</div><div>    dir out priority 2344</div><div>    tmpl src a.b.c.202 dst e.f.g.12</div><div>        proto comp reqid 16386 mode tunnel</div><div>    tmpl src 0.0.0.0 dst 0.0.0.0</div><div>        proto esp reqid 16385 mode transport</div><div>src 192.168.z.0/24 dst 10.x.y.0/24</div><div>    dir fwd priority 2344</div><div>    tmpl src e.f.g.12 dst a.b.c.202</div><div>        proto comp reqid 16386 mode tunnel</div><div>        level use</div><div>    tmpl src 0.0.0.0 dst 0.0.0.0</div><div>        proto esp reqid 16385 mode transport</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">See config and some extra output here</div><div style="font-size:12.8px"><a href="http://pastebin.com/UkwP9ery" target="_blank">http://pastebin.com/UkwP9ery</a><br></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">linux also has an openvpn server but it is not supposed to impact ip xfrm policy.</div><div style="font-size:12.8px">I'm positive that I was using the same config at some moment it was working.</div><div style="font-size:12.8px">I don't know what else outside of openswan can affect ip xfrm</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">I also tried to remove manually this policy but don't find the right command</div><div style="font-size:12.8px"><div># ip xfrm policy delete tmpl in src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a></div><div>Error: argument "tmpl" is wrong: unknown</div><div># ip xfrm policy delete dir in src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a></div><div>RTNETLINK answers: No such file or directory</div></div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">any pointers?</div></div></blockquote><div><br></div><div><br></div></div></div></div>