<div dir="ltr">Hi all,<div><br></div><div>I've been struggling with this for the past few days, was hoping to get some help.</div><div><br></div><div>I have a VPN tunnel set up to a client to receive patient information via messages. I've been able to receive them successfully, and when they're received the software we use (Mirth) acknowledges them successfully to the client. So the tunnel is up, and I am actively receiving and acknowledging data from them when I receive it.</div><div><br></div><div>OpenSwan is installed on a Linux box on AWS. The Mirth software is installed on another server within the same subnet. When trying to initiate a connection the client's servers however, I receive a time out error, and I cannot ping the client's servers from my end (even though the client says there aren't any filters/blocking in place).</div><div><br></div><div>I suspect it's a routing issue? When I do tcpdump on the Mirth server, it appears to be trying to directly connect to the client's server, without going through the intermediary VPN tunnel. I'm attempting to initiate a connection from the Mirth server with the 137.33.64.129 server within the client's network.</div><div><br></div><div>Here's my configuration (replaced external IPs with random IPs).</div><div><br></div><div><div># This file:  /usr/local/share/doc/openswan/ipsec.conf-sample</div><div>#</div><div># Manual:     ipsec.conf.5</div><div><br></div><div><br></div><div>version 2.0     # conforms to second version of ipsec.conf specification</div><div><br></div><div># basic configuration</div><div>config setup</div><div>        # Do not set debug options to debug configuration issues!</div><div>        # plutodebug / klipsdebug = "all", "none" or a combation from below:</div><div>        # "raw crypt parsing emitting control klips pfkey natt x509 dpd private"</div><div>        # eg:</div><div>        #i plutodebug="control parsing"</div><div>        # Again: only enable plutodebug or klipsdebug when asked by a developer</div><div>        #</div><div>        # enable to get logs per-peer</div><div>        plutoopts="--perpeerlog"</div><div>        #</div><div>        # Enable core dumps (might require system changes, like ulimit -C)</div><div>        # This is required for abrtd to work properly</div><div>        # Note: incorrect SElinux policies might prevent pluto writing the core</div><div>        dumpdir=/var/run/pluto/</div><div>        #</div><div>        # NAT-TRAVERSAL support, see README.NAT-Traversal</div><div>        nat_traversal=yes</div><div>        # exclude networks used on server side by adding %v4:!a.b.c.0/24</div><div>        # It seems that T-Mobile in the US and Rogers/Fido in Canada are</div><div>        # using 25/8 as "private" address space on their 3G network.</div><div>        # This range has not been announced via BGP (at least upto 2010-12-21)</div><div>        #virtual_private=%v4:<a href="http://174.0.0.0/24,%v4:!138.33.64.0/24">174.0.0.0/24,%v4:!138.33.64.0/24</a></div><div>        # OE is now off by default. Uncomment and change to on, to enable.</div><div>        oe=off</div><div>        # which IPsec stack to use. auto will try netkey, then klips then mast</div><div>        protostack=netkey</div><div>        # Use this to log to a file, or disable logging on embedded systems (like openwrt)</div><div>        #plutostderrlog=/dev/null</div><div><br></div><div># Add connections here</div><div><br></div><div>conn CLIENT</div><div>        type=tunnel</div><div>        authby=secret</div><div>        auto=start</div><div>        pfs=no</div><div>        ike=aes128-sha1</div><div>        phase2alg=aes128-sha1</div><div>        aggrmode=no</div><div>        ikelifetime=28800s</div><div>        salifetime=28800s</div><div>        left=%defaultroute</div><div>        leftid=59.35.345.248</div><div>        leftsubnets={<a href="http://174.0.0.248/32,174.0.0.247/32,174.0.0.246/32">174.0.0.248/32,174.0.0.247/32,174.0.0.246/32</a>}</div><div>        right=200.25.64.23</div><div>        rightid=200.25.64.23</div><div>        rightsubnets={<a href="http://137.33.64.129/32,137.33.64.130/32,137.33.64.131/32,137.33.64.132/32">137.33.64.129/32,137.33.64.130/32,137.33.64.131/32,137.33.64.132/32</a>}</div><div>        rekey=yes</div><div>        dpdaction=hold</div><div><br></div></div><div><br></div><div><br></div></div>