<div style="LAYOUT-GRID:  15.6pt none" class="Section1">
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">Hi All,</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">I have encountered one tough issue and need your all help. Please give me a help.  Thanks!</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">The scenario is:</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">__________________________________________________________________________________________</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">{IP-in-IP Client }<-- Ip package --> {IP-in-IP server} <-- IP-in-IP package --> {IPsec Gateway} <--IPsec over IP-in-IP package--> {Client with IPsec (using tunnel mode) over IP-in-IP}</span></font></p>

<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">-------------------------------------------------------------------------------------------------------------------------------------------------</span></font></p>

<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">Note:</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">1) two tunnel used in Client: IPsec tunnel over IP-in-IP tunnel;</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">2) the three Sourece IP in the header used in the client of IPsec over IP-in-IP is the same. </span></font></p>

<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">The issue is:</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">When I initiate a ping from client of IPsec over IP-in-IP, from TCPDUMP log, we can see that the package of ICMP request can reach IP-in-IP Client and ICMP reply can also reach client of IPsec over IP-in-IP successfully but ICMP reply can not be delievered to the upper layer (ICMP reply package can not be seen on the console).</span></font></p>

<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">More Information:</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">1) The implementation of IPsec uses the method: "integrate IPsec to native IP stack"  --- ie: NETKEY</span></font></p>

<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">2) The IP-In-IP configuration listed as followed: (a virtual interface IP-in-IP adopted)</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">ifconfig eth1 172.19.2.168 netmask 255.255.255.0</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">ip tunnel add ip-in-ip mode ipip remote 139.200.9.1 local 172.19.2.168 dev eth1</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">ip addr add <a href="http://172.19.2.168/24">172.19.2.168/24</a> dev ip-in-ip</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">ip link set ip-in-ip up</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">route add -host 139.200.9.9 gateway 172.19.2.177 dev ip-in-ip</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~</span></font></p>

<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">3) The Linux Kernel Version is: 2.6.28</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">Question: </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">1) Whether two tunnel mode (IPsec tunnel over IP-in-IP tunnel) can be supported?</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">2) The Root causes of the above issue?</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">3) Whether there are some patches of kernel can fix this issue?</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">4) Any suggestion can be given?</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">Look forward to your answer, Thanks a lot!</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US"> </span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">Best Wishes</span></font></p>
<p class="MsoNormal"><font size="1" face="Arial"><span style="FONT-FAMILY: Arial; FONT-SIZE: 9pt" lang="EN-US">David Morris</span></font></p></div><br><br>
<div class="gmail_quote">在 2010年11月16日 下午4:44，David Deng <span dir="ltr"><<a href="mailto:david.live.koo@gmail.com">david.live.koo@gmail.com</a>></span>写道：<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">
<div>Hi Andreas, Hi All,</div>
<div> </div>
<div>During the last two weeks, I did a interesting testing which will be described as followed.</div>
<div> </div>
<div>1) I established IPSEC tunnel by using strongswan over IP-in-IP tunnel (that means two tunnel has been established);</div>
<div> </div>
<div>2) In these two tunnel, I used the same inner IP as the original IP (that means there IPs are the same); </div>
<div> </div>
<div>3) I use the linux kernel 2.6.28 with the following patches and enabled the IPsec related kernel options.</div>
<div>  
<table border="1" rules="cols" cellspacing="0" cellpadding="4" width="4824" frame="lhs">
<colgroup>
<col width="544">
<col width="4263">
<tbody>
<tr valign="top">
<td width="544">
<p align="center"><font face="Helvetica, sans-serif"><font style="FONT-SIZE: 9pt" size="2"><span lang="en-GB"><b>1</b></span></font></font></p></td>
<td width="4263">
<p align="left"><font face="Helvetica, sans-serif"><font style="FONT-SIZE: 9pt" size="2"><span lang="en-GB">SKB True Size Problem, detail information can be found in:</span></font></font></p>
<p align="left"><font face="Helvetica, sans-serif"><font style="FONT-SIZE: 9pt" size="2"><span lang="en-GB"><a href="http://patchwork.kernel.org/patch/11964/" target="_blank">http://patchwork.kernel.org/patch/11964/</a></span></font></font></p>
</td></tr>
<tr valign="top">
<td width="544">
<p align="center"><font face="Helvetica, sans-serif"><font style="FONT-SIZE: 9pt" size="2"><span lang="en-GB"><b>2</b></span></font></font></p></td>
<td width="4263">
<p align="left"><font face="Helvetica, sans-serif"><font style="FONT-SIZE: 9pt" size="2"><span lang="en-GB">IPV6 Stack Problem, detail information can be found in:</span></font></font></p>
<p align="left"><font face="Helvetica, sans-serif"><font style="FONT-SIZE: 9pt" size="2"><span lang="en-GB"><a href="http://kerneltrap.org/mailarchive/linux-netdev/2008/11/25/4231304" target="_blank"><u><span lang="zh-CN"><font style="FONT-SIZE: 9pt" size="2"><font face="宋体"><font color="#0000ff">http://kerneltrap.org/mailarchive/linux-netdev/2008/11/25/4231304</font></font></font></span></u></a></span></font></font></p>
</td></tr></tbody></colgroup></table>   </div>
<div>4) After two tunnel established successfully, I initiate ping from the host{A} to host{B}. ICMP reply package can not be seen on the cosole but  I can see these packages in the cratched list of tcpdump (tcpdump -i ip-in-ip).</div>

<div> </div>
<div>so I am wander that if this scenarios (IPsec tunnel mode over IP-IN-IP tunnel mode) can be supported by linux kernel2.6.28 or later version of kernel.</div>
<div> </div>
<div>If I need apply some patches to support this scenarios (IPsec tunnel mode over IP-IN-IP tunnel mode). </div>
<div> </div>
<div>look forward to your answer, thanks a lot!</div>
<div> </div>
<div>cheers,</div>
<div>David Morris</div>
<div> </div>
<div> </div>
<div> </div>
<div>  </div></blockquote></div><br>