<div dir="ltr">Hello,<div><br></div><div>I'm trying to setup a multiple site-tosite connectivity with Openswan as central point. I'm trying to connect 2 AWS regions and 1 Azure region. I'm using AWS VPN Gateway in one of AWS regions (AWS-US), VPN Gateway in Azure, and Openswan in the main AWS region (AWS-EU). I can successfully connect between AWS regions and main AWS and Azure. So currently I have:</div><div><br></div><div>AWS-US<---->AWS-EU<----->Azure</div><div><br></div><div>But I'd like to achieve also connectivity between AWS-US and Azure via AWS-EU:</div><div><br></div><div>AWS-US<-------(AWS-EU)--------->Azure</div><div><br></div><div>From the clouds configuration side, all Routing is propagated properly.</div><div><br></div><div>CIDR block of networks:</div><div><br></div><div>AWS-US: <a href="http://10.4.0.0/16">10.4.0.0/16</a><br>AWS-EU: <a href="http://10.3.0.0/16">10.3.0.0/16</a></div><div>Azure: <a href="http://10.111.0.0/16">10.111.0.0/16</a></div><div><br></div><div>So no cidr overlapping.</div><div><br></div><div>I tried various configuratoins but always ended up with one region not able to communicate with another.</div><div><br></div><div>My current setup (OS:Amazon Linux, openswan 2.6.49.1):</div><div><br></div><div><div>config setup</div><div>        protostack=netkey</div><div>        nat_traversal=yes</div><div>        virtual_private=%v4:<a href="http://10.3.0.0/16,%v4:10.4.0.0/16,%v4:10.111.0.0/16">10.3.0.0/16,%v4:10.4.0.0/16,%v4:10.111.0.0/16</a></div><div>        oe=off        </div><div>        plutodebug="control parsing"</div><div>        plutostderrlog=/var/log/openswan.log</div><div><br></div><div>include /etc/ipsec.d/*.conf</div></div><div><br></div><div><div>conn awsvpn</div><div>    type=tunnel</div><div>    authby=secret</div><div>    left=%defaultroute</div><div>    leftid=Openswan.Public.IP</div><div>    leftnexthop=%defaultroute</div><div>    leftsubnets={<a href="http://10.3.0.0/16,10.111.0.0/16">10.3.0.0/16,10.111.0.0/16</a>}</div><div>    right=AWS-US.VPN.Gateway.IP</div><div>    rightsubnets={<a href="http://10.4.0.0/16">10.4.0.0/16</a>}</div><div>    phase2=esp</div><div>    phase2alg=aes128-sha1</div><div>    ike=aes128-sha1</div><div>    ikelifetime=28800s</div><div>    salifetime=3600s</div><div>    pfs=yes</div><div>    auto=start</div><div>    rekey=yes</div><div>    keyingtries=%forever</div><div>    dpddelay=10</div><div>    dpdtimeout=60</div><div>    dpdaction=restart_by_peer</div><div><br></div><div>conn azure</div><div>    type=tunnel</div><div>    authby=secret</div><div>    left=%defaultroute</div><div>    leftid=Openswan.Public.IP</div><div>    leftnexthop=%defaultroute</div><div>    leftsubnets={<a href="http://10.3.0.0/16,10.4.0.0/16">10.3.0.0/16,10.4.0.0/16</a>}</div><div>    right=Azure.VPN.Gateway.Public.IP</div><div>    rightsubnets={<a href="http://10.111.0.0/16">10.111.0.0/16</a>}</div><div>    auto=start</div><div>    ike=aes256-sha1-modp1024</div><div>    esp=aes256-sha1</div><div>    pfs=no</div></div><div><br></div><div>with this setup I have following connectivity working:</div><div>AWS-EU<------>Azure</div><div>Azure<--------->AWS-EU</div><div>Azure<------->AWS-US</div><div>AWS-US<----------->Azure</div><div><br></div><div>So i'm lacking connectivity between AWS-EU and AWS-US despite tunnel being up and other cross connectivity working.</div><div><br></div><div>ipsec look shows me all the routes I expected to see</div><div><br></div><div><br></div><div>Iptables on Openswan instance has no rules applied, traffic on security groups is allowed,</div><div><br></div><div>Any ideas what might be the issue or how to debug?</div><div><br></div><div>Thank you in advance.</div><div><br></div><div>Barry</div></div>