Andreas,<div><br></div><blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;"><div>We've solved the problem here. Actually, there never was a problem.</div><div><br></div><div>
When first chatting to the people here, NO secure communication was happening.</div><div><br></div><div>After your last message, I did a little digging and, as so often happens in these cases, reality was a little different.</div>
<div><br></div><div>It seems that Hosts A and B were able to ping each other through their IPsec tunnels via the SeGW. In fact, we can even ssh through the tunnels from Host A to Host B.</div><div><br></div><div>What was NOT happening was reception of UDP traffic sent from Host A to a specific port on Host B (and vice versa). Once I got them to adjust the firewall on Host B to open the udp port, everything started working too.</div>
<div><br></div><div>They were confused by the fact that we had already added a firewall rule allowing all UDP traffic from an IPsec tunnel. They did not realise that such traffic is decrypted and then sent back through the firewall again, thus needing the specific UDP port opening too.</div>
<div><br></div><div>Sorry to have wasted your time.</div><div><br></div><div>Regards,</div><div><br></div></blockquote><blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;"><blockquote class="webkit-indent-blockquote" style="margin: 0 0 0 40px; border: none; padding: 0px;">
<div>Graham.</div><div><br></div></blockquote></blockquote><div><br><div class="gmail_quote">On 4 March 2011 12:48, Graham Hudspith <span dir="ltr"><<a href="mailto:graham.hudspith@gmail.com">graham.hudspith@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">Andreas,<div><br></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>Thanks for that. Unfortunately, all of these abstract labels are making my head hurt. Let's try some real numbers.</div>

<div><br></div><div>Host A and Host B have local IP addresses in the 192.16.50.xxx subnet.</div><div><br></div><div>The SeGW has an unsecure IP address (i.e. on eth0) in the 172.16.xxx.xxx subnet and a secure IP address (i.e. on eth1) in the 172.17.xxx.xxx subnet.</div>

<div><br></div><div>The SeGW is configured to hand out virtual IP addresses to Hosts A and B using the 10.15.xxx.xxx subnet.</div><div><br></div><div>So, we want Host A to be able to talk to other entities in the 10.15.xxx.xxx subnet using IPsec (i.e. Host A <-> Host B via SeGW) and ALSO we want Host A and Host B to be able to talk to entities on the secure side of the SeGW (i.e. other servers on the 172.17.xxx.xxx subnet).</div>

<div><br></div><div>So, currently, on the SeGW we have:</div><div><br></div></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><blockquote style="margin:0 0 0 40px;border:none;padding:0px">
<div>conn a-b-gw</div></blockquote></blockquote><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><blockquote style="margin:0 0 0 40px;border:none;padding:0px">
<blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>left=<a href="http://segw.foobar.com" target="_blank">segw.foobar.com</a></div><div>leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a></div>

<div>leftfirewall=yes</div><div>rightsourceip=<a href="http://10.15.0.0/24" target="_blank">10.15.0.0/24</a></div></blockquote></blockquote><br></blockquote></blockquote></div></div>