<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.6618.1">
<TITLE>Net2net and ip policy</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><FONT SIZE=2 FACE="Arial CE">Hi,</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">Please, help me! I have got two strongswan servers and the connection is ok. I must put a router between "left" and "leftsubnet":</FONT></P>

<P><FONT SIZE=2 FACE="Arial CE">Before: 192.168.100.0/22===x.x.x.186---x.x.x.230===192.168.11.0/24</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">Now: 192.168.100.0/22==={router 192.168.100.254-x.x.x.185}===x.x.x.186---x.x.x.230===192.168.11.0/24</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">Ipsec.conf:</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">config setup</FONT>

<BR><FONT SIZE=2 FACE="Arial CE"> plutodebug=control</FONT>

<BR><FONT SIZE=2 FACE="Arial CE"> charonstart=no</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">conn %default</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        left=%defaultroute</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        leftsubnet=192.168.100.0/22</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">conn paks</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        right=x.x.x.230</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        rightsubnet=192.168.11.0/24</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        authby=secret</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        auth=esp</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        auto=add</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">Ip xfrm policy:</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">src 192.168.100.0/22 dst 192.168.11.0/24</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        dir out priority 2408 ptype main</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        tmpl src x.x.x.186 dst x.x.x.230</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">                proto esp reqid 16385 mode tunnel</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">src 192.168.11.0/24 dst 192.168.100.0/22</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        dir fwd priority 2408 ptype main</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        tmpl src x.x.x.230 dst x.x.x.186</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">                proto esp reqid 16385 mode tunnel</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">src 192.168.11.0/24 dst 192.168.100.0/22</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        dir in priority 2408 ptype main</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">        tmpl src x.x.x.230 dst x.x.x.186</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">                proto esp reqid 16385 mode tunnel</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">Route:</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">192.168.100.0   x.x.x.185 255.255.252.0   UG    0      0        0 eth1</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">0.0.0.0         x.x.x.180 0.0.0.0         UG    0      0        0 eth1</FONT>
</P>

<P><FONT SIZE=2 FACE="Arial CE">The vpn tunnel has been established, of course, but the ping from 192.168.100.2 to 192.168.11.3 has been failed.</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">Tcpdump:</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">12:45:51.760782 IP 192.168.100.2 > 192.168.11.3: ICMP echo request, id 512, seq 15360, length 40</FONT>

<BR><FONT SIZE=2 FACE="Arial CE">12:45:51.760931 IP x.x.x.186.euroweb.hu > 192.168.100.2: ICMP host 192.168.11.3 unreachable - admin prohibited, length 68</FONT></P>

<P><FONT SIZE=2 FACE="Arial CE">The ipsec.conf i did not change. I removed the direct network connection to 192.168.100.0/22 from the "left" server and i rewrote it the routing table.<SPAN LANG="en-us"></SPAN></FONT><SPAN LANG="en-us"> <FONT SIZE=2 FACE="Arial">What it is necessary to do yet, that allowing let the route be? </FONT></SPAN></P>

<P><SPAN LANG="hu"><FONT SIZE=2 FACE="Arial CE">Thank you,</FONT></SPAN>

<BR><SPAN LANG="hu"><FONT SIZE=2 FACE="Arial CE">Zsolt</FONT></SPAN><SPAN LANG="en-us"></SPAN><SPAN LANG="en-us"></SPAN>
</P>

</BODY>
</HTML>