<div dir="ltr">I have a tunnel to a remote Cisco router that was working fine up until  last weekend. On Openswan I can see that the tunnel is established:<br><br>000 "***************": xxx.xxx.82.30/32===xxx.xxx.82.4<xxx.xxx.82.4>---xxx.xxx.82.1...xxx.xxx.219.57<xxx.xxx.219.57>===xxx.xxx.221.0/24; erouted; eroute owner: #124963<br>000 "***************":     myip=unset; hisip=unset;<br>000 "***************":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<br>000 "***************":   policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,32; interface: eth0:1;<br>000 "***************":   newest ISAKMP SA: #124962; newest IPsec SA: #124963;<br>000 "***************":   IKE algorithm newest: 3DES_CBC_192-SHA1-MODP1024<br>000 "***************":   ESP algorithms wanted: 3DES(3)_000-SHA1(2)_000; flags=-strict<br>000 "***************":   ESP algorithms loaded: 3DES(3)_192-SHA1(2)_160<br>000 "***************":   ESP algorithm newest: 3DES_000-HMAC_SHA1; pfsgroup=<N/A><br>000 #124963: "***************":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27926s; newest IPSEC; eroute owner; isakmp#124962; idle; import:admin initiate<br>000 #124963: "***************" esp.bad46993@xxx.xxx.219.57 esp.70a6776f@xxx.xxx.82.4 tun.0@xxx.xxx.219.57 tun.0@xxx.xxx.82.4 ref=0 refhim=4294901761<br>000 #124962: "***************":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2925s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate<br><br> Here's some output from 'ip xfrm policy list' One item stands out, the traffic to dport 11350 is the traffic I'm trying to send over the tunnel.<br><br>src xxx.xxx.82.30/32 dst xxx.xxx.221.0/24<br>dir out priority 2088<br>tmpl src xxx.xxx.82.4 dst xxx.xxx.219.57<br>proto esp reqid 38417 mode tunnel<br>src xxx.xxx.221.0/24 dst xxx.xxx.82.30/32<br>dir fwd priority 2088<br>tmpl src  dst xxx.xxx.82.4<br>proto esp reqid 38417 mode tunnel<br>src xxx.xxx.221.0/24 dst xxx.xxx.82.30/32<br>dir in priority 2088<br>tmpl src xxx.xxx.219.57 dst xxx.xxx.82.4<br>proto esp reqid 38417 mode tunnel<br>src xxx.xxx.82.30/32 dst xxx.xxx.221.253/32 proto tcp<br>dir out priority 2080<br>src xxx.xxx.82.30/32 dst xxx.xxx.221.253/32 proto tcp sport 42416 <b>dport 11350 <br>dir out action block priority 2080</b><br><br>I've been able to confirm that the traffic destined for xxx.xxx.221.253/32 is hitting the default gateway of the VPN server, rather than going through the tunnel. <div><br></div><div>I'm guessing this block policy might be the source of my troubles, but where would it be getting this from? I checked /etc/ipsec.d/policies/block and this file is blank.<br><br>--<br><br>Steve MacDougall<br><br>Sr. Systems/Network Administrator<br><br>647.258.3704 Direct<br><br>289.924.1086 Mobile<br><br><a href="mailto:smacdougall@bluepay.ca">smacdougall@bluepay.ca</a><br><br><br><br> </div></div>