<div dir="ltr"><div>Hello,</div><div><br></div><div>routing Problems to reach out thru the tunnel using load-tester</div><div><br></div><div>I am trying to use the load-tester to stress test my VPN server. Using ver 5.2.2. For simplicity I am trying to bring just one connection up. My tunnel gets </div><div>established but I am not able to ping the outside world. Here is what my ip route shows:</div><div><br></div><div>I did a ipsec load-tester initiate 1 1 and got a private IP if 10.10.3.1</div><div><br></div><div><b># ip route show table 220</b></div><div>10.101.248.152 via 10.101.248.152 dev eno16780032  proto static  src 10.10.3.1</div><div><br></div><div>The above line rather should be ( I would think)</div><div>default via 10.101.248.152 dev eno16780032  proto static  src 10.10.3.1</div><div><br></div><div>Not sure how to fix this. </div><div><b>Also I see that my ipsec statusall shows everything to be /32 but i have configured on the server for it to be /24.</b></div><div>Sample output</div><div># ipsec statusall</div><div>Status of IKE charon daemon (strongSwan 5.2.2, Linux 3.10.0-123.13.1.el7.x86_64, x86_64):</div><div>  uptime: 3 minutes, since Feb 11 17:02:20 2015</div><div>  malloc: sbrk 2560000, mmap 0, used 541936, free 2018064</div><div>  worker threads: 27 of 32 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0</div><div>  loaded plugins: charon ldap pkcs11 aes des rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc cmac hmac ccm gcm curl attr load-tester kernel-netlink resolve socket-default farp stroke updown eap-identity eap-aka eap-aka-3gpp2 eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs dhcp</div><div>Listening IP addresses:</div><div>  10.101.248.153</div><div>Connections:</div><div>   load-test:  10.101.248.152...0.0.0.0  IKEv1</div><div>   load-test:   local:  [C=CH, O=strongSwan, CN=<a href="http://vpntest.x.com">vpntest.x.com</a>] uses public key authentication</div><div>   load-test:   remote: [%any] uses public key authentication</div><div>   load-test:   remote: [%any] uses XAuth authentication: any with XAuth identity '%any'</div><div>   load-test:   child:  dynamic === dynamic TUNNEL</div><div>Security Associations (1 up, 0 connecting):</div><div>   load-test[1]: ESTABLISHED 3 minutes ago, 10.101.248.153[CN=r]...10.101.248.152[C=CH, O=strongSwan, CN=<a href="http://vpntest.x.com">vpntest.x.com</a>]</div><div>   load-test[1]: IKEv1 SPIs: f0850451c41b60ae_i* 245d2d63feb59e08_r, rekeying disabled</div><div>   load-test[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>   load-test{1}:  REKEYING, TUNNEL, expires in 35 seconds</div><div>   load-test{1}:   <a href="http://10.10.3.1/32">10.10.3.1/32</a> === <a href="http://10.101.248.152/32">10.101.248.152/32</a></div><div>   load-test{1}:  INSTALLED, TUNNEL, ESP SPIs: c712d0f2_i c00b39c3_o</div><div>   load-test{1}:  AES_CBC_128/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o, rekeying in 35 seconds</div><div>   load-test{1}:   <a href="http://10.10.3.1/32">10.10.3.1/32</a> === <a href="http://10.101.248.152/32">10.101.248.152/32</a></div><div>   </div><div><br></div><div>Here is my server side ipsec.conf</div><div><br></div><div>conn rw</div><div>    keyexchange=ikev1</div><div>    left=10.101.248.152</div><div>    leftauth=pubkey</div><div>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftid="C=CH, O=strongSwan, CN=<a href="http://vpntest.x.com">vpntest.x.com</a>"</div><div>    leftcert=serverCert.pem</div><div>    leftfirewall=yes</div><div>    right=%any</div><div>    rightsourceip=<a href="http://10.10.3.0/24">10.10.3.0/24</a></div><div>    rightauth=pubkey</div><div>    rightauth2=xauth-radius</div><div>    eap_identity=%identity</div><div>    auto=add</div><div><br></div><div><br></div><div>On the client side, my ipsec.conf is empty. Everything is configured thru strongswan.conf .</div><div># Refer to the strongswan.conf(5) manpage for details</div><div>#</div><div># Configuration changes should be made in the included files</div><div><br></div><div>charon {</div><div>#   load = sha1 sha2 md5 aes des hmac pem pkcs1 x509 revocation gmp random nonce curl xauth-generic kernel-netlink socket-default updown stroke</div><div><br></div><div>    dh_exponent_ansi_x9_42 = no</div><div>    reuse_ikesa = no</div><div>    threads = 32</div><div><br></div><div>#    install_routes=no</div><div><br></div><div>    plugins {</div><div>        load-tester {</div><div>            # enable the plugin</div><div>            enable = yes</div><div>            # 10000 connections, ten in parallel</div><div>            initiators = 0</div><div>            iterations = 1</div><div>            # use a delay of 100ms, overall time is: iterations * delay = 100s</div><div>            delay = 100</div><div>            # address of the gateway (releases before 5.0.2 used the "remote" keyword!)</div><div>            responder = 10.101.248.152</div><div>            # IKE-proposal to use</div><div>            proposal = aes128-sha1-modp2048</div><div>            esp = aes128-sha1</div><div>            #proposal = aes128-sha1-modp768</div><div>            # use faster PSK authentication instead of 1024bit RSA</div><div>            initiator_auth = pubkey|xauth</div><div>            responder_auth = pubkey</div><div>            # request a virtual IP using configuration payloads</div><div>            request_virtual_ip = yes</div><div>            # disable IKE_SA rekeying (default)</div><div>            ike_rekey = 0</div><div>            # enable CHILD_SA every 60s</div><div>            child_rekey = 60</div><div>            #initiator_id = "OU=MobileXpression, CN=r"</div><div>            initiator_id = "CN=r"</div><div>            initiator_match = *</div><div>            responder_id="C=CH, O=strongSwan, CN=<a href="http://vpntest.x.com">vpntest.x.com</a>"</div><div>            issuer_cert = /etc/ipsec.d/cacerts/caCert.pem</div><div>            issuer_key = /home/mbangad/caKey.pem</div><div>            #ca_dir = /path/to/trustchain/certs</div><div>            # do not delete the IKE_SA after it has been established (default)</div><div>            delete_after_established = no</div><div>            # do not shut down the daemon if all IKE_SAs established</div><div>            shutdown_when_complete = no</div><div>            version=1</div><div>            initiator_ts = <a href="http://10.10.3.1/24">10.10.3.1/24</a></div><div>        }</div><div>    }</div><div>}</div><div><br></div><div><br></div><div>thanks,</div><div><br></div><div>Meenakshi</div><div><br></div><div><br></div></div>