Hi Andreas, <br><br>Thanks for the quick reply!<br><br>I don't block anything at all outbound on either machine, plus the OUTPUT chain on both is set to ACCEPT<br><br>I'm not 100% sure I've answered your question - shout back if you need any more info<br>

<br>Cheers<br><br>Russ<br><br><br><br>iptables -nvL<br>...<br>...<br>Chain OUTPUT (policy ACCEPT 2137K packets, 16G bytes)<br>pkts bytes target     prot opt in     out     source               destination         <br>...<br>

-------------------------<br>rodney:~# iptables -nvL |grep 192.168.6<br>    0     0 ACCEPT     all  --  eth2:8 *       <a href="http://192.168.6.0/24">192.168.6.0/24</a>       <a href="http://192.168.0.0/24">192.168.0.0/24</a>      policy match dir in pol ipsec reqid 16601 proto 50 <br>

    0     0 ACCEPT     all  --  *      eth2:8  <a href="http://192.168.0.0/24">192.168.0.0/24</a>       <a href="http://192.168.6.0/24">192.168.6.0/24</a>      policy match dir out pol ipsec reqid 16601 proto 50 <br>--------------------------<br>

root@granville:~# iptables -nvL |grep 192.168.0<br>    0     0 ACCEPT     all  --  eth1   *       <a href="http://192.168.0.0/24">192.168.0.0/24</a>       <a href="http://192.168.6.0/24">192.168.6.0/24</a>      policy match dir in pol ipsec reqid 16385 proto 50 <br>

 7607  647K ACCEPT     all  --  *      eth1    <a href="http://192.168.6.0/24">192.168.6.0/24</a>       <a href="http://192.168.0.0/24">192.168.0.0/24</a>      policy match dir out pol ipsec reqid 16385 proto 50 <br><br>
<br>
<br><div class="gmail_quote">On 23 March 2011 16:29, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">

Hello Russ,<br>
<br>
what about the IPsec policy based firewall rules inserted with<br>
firewall=yes. Do you get any hits on the outbound rules?<br>
<br>
Regards<br>
<br>
Andreas<br>
<div><div></div><div class="h5"><br>
On 03/23/2011 04:36 PM, Russ Cox wrote:<br>
> Hi All,<br>
><br>
> I'm having a bit of a strange issue with a net-net vpn setup where<br>
> packets bound for the remote subnet don't appear to be getting<br>
> encapsulated on either gateway, I see no ESP packets other than those<br>
> attributed with existing functional tunnels.<br>
><br>
> I've tried tcpdumping on both endpoints, and can see icmp packets coming<br>
> in to the local gateway from hosts on both networks, but no ESP packets<br>
> - and none of it seems to get across the tunnel.<br>
><br>
> Any help would be greatly appreciated - I've tried doing the same thing<br>
> with IKEV2 (with a couple of required changes) and had exactly the same<br>
> result.<br>
><br>
> Give me a shout if I can provide any additional information.<br>
><br>
> Thanks!<br>
><br>
> Russ<br>
><br>
> ---------------------<br>
><br>
> Here's my setup<br>
><br>
> Rodney:<br>
> Debian lenny x86_64<br>
> Strongswan 4.2.4-5 - from repo<br>
> A number of existing working ikev1 tunnels set up to other networks/hosts<br>
><br>
> Granville:<br>
> Debian Squeeze x86_64<br>
> Strongswan 4.4.1-5.1 - from repo<br>
><br>
> Iptables on both hosts:<br>
> udp 500 and 4500 + esp open<br>
><br>
><br>
> <a href="http://192.168.0.0/24-----RODNEY----BRIGHTON_PUB_IP.........ESSEX_PUB_IP---NAT_ROUTER----GRANVILLE----192.168.6.0/24" target="_blank">192.168.0.0/24-----RODNEY----BRIGHTON_PUB_IP.........ESSEX_PUB_IP---NAT_ROUTER----GRANVILLE----192.168.6.0/24</a><br>


</div></div>> <<a href="http://192.168.0.0/24-----RODNEY----BRIGHTON_PUB_IP.........ESSEX_PUB_IP---NAT_ROUTER----GRANVILLE----192.168.6.0/24" target="_blank">http://192.168.0.0/24-----RODNEY----BRIGHTON_PUB_IP.........ESSEX_PUB_IP---NAT_ROUTER----GRANVILLE----192.168.6.0/24</a>><br>


<div class="im">><br>
><br>
> Essex router nats absolutely everything to Granville (it's on the<br>
> netgear router's dmz)<br>
> --------------------------------------<br>
> ESSEX - IPSEC.CONF<br>
><br>
> config setup<br>
>          plutodebug=control<br>
>         nat_traversal=yes<br>
>         charonstart=no<br>
>         plutostart=yes<br>
><br>
> conn essex_brighton<br>
>         left=%defaultroute<br>
>         leftid=ESSEX_PUB_IP<br>
</div>>         leftsubnet=<a href="http://192.168.6.0/24" target="_blank">192.168.6.0/24</a> <<a href="http://192.168.6.0/24" target="_blank">http://192.168.6.0/24</a>><br>
<div class="im">>         leftfirewall=yes<br>
>         right=BRIGHTON_PUB_IP<br>
</div>>         rightsubnet=<a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>><br>
<div class="im">>         forceencaps=yes<br>
>         keyexchange=ikev1<br>
>         authby=secret<br>
>         auto=add<br>
> --------------------------------------<br>
><br>
> BRIGHTON-IPSEC.CONF<br>
><br>
> config setup<br>
>          plutodebug=control<br>
>          nat_traversal=yes<br>
>         charonstart=yes<br>
>         plutostart=yes<br>
><br>
> conn essex_brighton<br>
>         left=BRIGHTON_PUB_IP<br>
</div>>         leftsubnet=<a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>><br>
<div class="im">>         leftfirewall=yes<br>
>         right=ESSEX_PUB_IP<br>
</div>>         rightsubnet=<a href="http://192.168.6.0/24" target="_blank">192.168.6.0/24</a> <<a href="http://192.168.6.0/24" target="_blank">http://192.168.6.0/24</a>><br>
<div class="im">>         forceencaps=yes<br>
>         keyexchange=ikev1<br>
>         authby=secret<br>
>         auto=add<br>
><br>
> -----------------------------------<br>
><br>
> root@granville:~# ipsec status<br>
> 000 "essex_brighton":<br>
> <a href="http://192.168.6.0/24===192.168.16.2:4500[ESSEX_PUB_IP]---192.168.16.1...BRIGHTON_PUB_IP:4500[BRIGHTON_PUB_IP]===192.168.0.0/24" target="_blank">192.168.6.0/24===192.168.16.2:4500[ESSEX_PUB_IP]---192.168.16.1...BRIGHTON_PUB_IP:4500[BRIGHTON_PUB_IP]===192.168.0.0/24</a><br>


</div>> <<a href="http://192.168.6.0/24===192.168.16.2:4500[ESSEX_PUB_IP]---192.168.16.1...BRIGHTON_PUB_IP:4500[BRIGHTON_PUB_IP]===192.168.0.0/24" target="_blank">http://192.168.6.0/24===192.168.16.2:4500[ESSEX_PUB_IP]---192.168.16.1...BRIGHTON_PUB_IP:4500[BRIGHTON_PUB_IP]===192.168.0.0/24</a>>;<br>


<div class="im">> erouted; eroute owner: #2<br>
> 000 "essex_brighton":   newest ISAKMP SA: #1; newest IPsec SA: #2;<br>
> 000<br>
> 000 #2: "essex_brighton" STATE_QUICK_I2 (sent QI2, IPsec SA<br>
> established); EVENT_SA_REPLACE in 4s; newest IPSEC; eroute owner<br>
> 000 #2: "essex_brighton" esp.9c28ba55@BRIGHTON_PUB_IP (0 bytes)<br>
</div>> <a href="mailto:esp.c32b10a1@192.168.16.2">esp.c32b10a1@192.168.16.2</a> <mailto:<a href="mailto:esp.c32b10a1@192.168.16.2">esp.c32b10a1@192.168.16.2</a>> (0 bytes);<br>
<div class="im">> tunnel<br>
> 000 #1: "essex_brighton" STATE_MAIN_I4 (ISAKMP SA established);<br>
> EVENT_SA_REPLACE in 6962s; newest ISAKMP<br>
> 000<br>
><br>
><br>
> rodney:~# ipsec status<br>
> 000 "essex_brighton":<br>
> <a href="http://192.168.0.0/24===BRIGHTON_PUB_IP:4500...ESSEX_PUB_IP:4500===192.168.6.0/24" target="_blank">192.168.0.0/24===BRIGHTON_PUB_IP:4500...ESSEX_PUB_IP:4500===192.168.6.0/24</a><br>
</div>> <<a href="http://192.168.0.0/24===BRIGHTON_PUB_IP:4500...ESSEX_PUB_IP:4500===192.168.6.0/24" target="_blank">http://192.168.0.0/24===BRIGHTON_PUB_IP:4500...ESSEX_PUB_IP:4500===192.168.6.0/24</a>>;<br>
<div><div></div><div class="h5">> erouted; eroute owner: #3909<br>
> 000 "essex_brighton":   newest ISAKMP SA: #3898; newest IPsec SA: #3909;<br>
> 000<br>
> 000 #3909: "essex_brighton" STATE_QUICK_R2 (IPsec SA established);<br>
> EVENT_SA_REPLACE in 3285s; newest IPSEC; eroute owner<br>
> 000 #3909: "essex_brighton" esp.360fcd9e@ESSEX_PUB_IP (0 bytes)<br>
> esp.295edd15@BRIGHTON_PUB_IP (0 bytes); tunnel<br>
> 000 #3899: "essex_brighton" STATE_QUICK_R2 (IPsec SA established);<br>
> EVENT_SA_REPLACE in 446s<br>
> 000 #3899: "essex_brighton" esp.c32b10a1@ESSEX_PUB_IP (0 bytes)<br>
> esp.9c28ba55@BRIGHTON_PUB_IP (0 bytes); tunnel<br>
> 000 #3898: "essex_brighton" STATE_MAIN_R3 (sent MR3, ISAKMP SA<br>
> established); EVENT_SA_REPLACE in 7635s; newest ISAKMP<br>
> 000<br>
> Security Associations:<br>
>   none<br>
><br>
> ------------------------<br>
><br>
> root@granville:~# ip xfrm state<br>
> src 192.168.16.2 dst BRIGHTON_PUB_IP<br>
>     proto esp spi 0x295edd15 reqid 16385 mode tunnel<br>
>     replay-window 32 flag af-unspec<br>
>     auth hmac(sha1) 0x0ba38e23a79f79f7f96690d2d166b315f60b60bb<br>
>     enc cbc(aes) 0xdf238a47bb128a41d94f60452411cd26<br>
>     encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
> src BRIGHTON_PUB_IP dst 192.168.16.2<br>
>     proto esp spi 0x360fcd9e reqid 16385 mode tunnel<br>
>     replay-window 32 flag af-unspec<br>
>     auth hmac(sha1) 0x015ec50f83fc414a681902bd935cf8560da4cbb2<br>
>     enc cbc(aes) 0x7e40d181e5c8ca5bfc35ed44b59c968d<br>
>     encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
> src 192.168.16.2 dst BRIGHTON_PUB_IP<br>
>     proto esp spi 0x9c28ba55 reqid 16385 mode tunnel<br>
>     replay-window 32 flag af-unspec<br>
>     auth hmac(sha1) 0x2345729df63869ea9a6df60f50508cf746860b02<br>
>     enc cbc(aes) 0xf90f83024f337ff85a8fc72392eaea8f<br>
>     encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
> src BRIGHTON_PUB_IP dst 192.168.16.2<br>
>     proto esp spi 0xc32b10a1 reqid 16385 mode tunnel<br>
>     replay-window 32 flag af-unspec<br>
>     auth hmac(sha1) 0x7f16f51d63369bec30ac74e4eef27d9a8ff81958<br>
>     enc cbc(aes) 0x047271d81f3a0483c34c0790fcc098c8<br>
>     encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
> root@granville:~# ip xfrm policy<br>
</div></div>> src <a href="http://192.168.6.0/24" target="_blank">192.168.6.0/24</a> <<a href="http://192.168.6.0/24" target="_blank">http://192.168.6.0/24</a>> dst <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a><br>


> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>><br>
<div class="im">>     dir out priority 2344 ptype main<br>
>     tmpl src 192.168.16.2 dst BRIGHTON_PUB_IP<br>
>         proto esp reqid 16385 mode tunnel<br>
</div>> src <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>> dst <a href="http://192.168.6.0/24" target="_blank">192.168.6.0/24</a><br>


> <<a href="http://192.168.6.0/24" target="_blank">http://192.168.6.0/24</a>><br>
<div class="im">>     dir fwd priority 2344 ptype main<br>
>     tmpl src BRIGHTON_PUB_IP dst 192.168.16.2<br>
>         proto esp reqid 16385 mode tunnel<br>
</div>> src <a href="http://192.168.0.0/24" target="_blank">192.168.0.0/24</a> <<a href="http://192.168.0.0/24" target="_blank">http://192.168.0.0/24</a>> dst <a href="http://192.168.6.0/24" target="_blank">192.168.6.0/24</a><br>


> <<a href="http://192.168.6.0/24" target="_blank">http://192.168.6.0/24</a>><br>
<div class="im">>     dir in priority 2344 ptype main<br>
>     tmpl src BRIGHTON_PUB_IP dst 192.168.16.2<br>
>         proto esp reqid 16385 mode tunnel<br>
> src ::/0 dst ::/0<br>
>     dir 4 priority 0 ptype main<br>
> src ::/0 dst ::/0<br>
>     dir 3 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 4 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 3 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 4 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 3 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 4 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 3 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 4 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 3 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 4 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 3 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 4 priority 0 ptype main<br>
</div>> src <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> dst <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="im">>     dir 3 priority 0 ptype main<br>
><br>
><br>
><br>
><br>
><br>
</div>> _______________________________________________<br>
> Users mailing list<br>
> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>
> <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>
<font color="#888888"><br>
<br>
--<br>
======================================================================<br>
Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>
strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org" target="_blank">www.strongswan.org</a><br>
Institute for Internet Technologies and Applications<br>
University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>
===========================================================[ITA-HSR]==<br>
</font></blockquote></div><br>