Hi Martin and Andreas,<br><br>My old friends,  Thanks for you help!<br><br>Currently, When I investigate the DSCP support of Strongswan,  I encountered the following problem. <br><br>Firstly, Let me describe the Test Environment we built.<br>
<br>1) we use the end to end mode. <br>2) we use strongswan based on V4.5.2<br>3) Topo is:<br><br>Server (172.19.2.101, additional ip - 10.0.2.6) <---------> Client (172.19.2.97)<br>4) configuration is: <br> ---> Client side:<br>
config setup<br>    strictcrlpolicy=no<br>    plutostart=no<br><br>conn %default<br>    ike=3des-aesxcbc-modp1024!<br>    esp=3des-aesxcbc!<br>    ikelifetime=24h<br>    keyexchange=ikev2<br><br>conn rw-eapaka<br>    left=172.19.2.99<br>
    leftsubnet=<a href="http://192.168.253.0/24">192.168.253.0/24</a><br>    leftid=<a href="http://yyy.femtoforum.org">yyy.femtoforum.org</a><br>    leftcert=/etc/ipsec.d/certs/segw.pem<br>    leftfirewall=yes<br>    lefthostaccess=yes<br>
    right=%any<br>    rightid=<a href="http://xxx.femtoforum.org">xxx.femtoforum.org</a><br>    rightcert=/etc/ipsec.d/certs/hnodeb.pem<br>    rightsendcert=never<br>    rightsourceip=10.0.2.3<br>    auto=start<br><br><br>
---> server side<br>config setup<br>    strictcrlpolicy=no<br>    plutostart=no<br><br>conn %default<br>    ikelifetime=24h<br>    keylife=60m<br>    keyexchange=ikev2<br>    dpdaction=clear<br>    dpddelay=20m<br><br>
conn FAP0<br>    left=172.19.2.101<br>    leftsourceip=%config<br>    leftid=<a href="http://xxx.femtoforum.org">xxx.femtoforum.org</a><br>    leftcert=/etc/ipsec.d/certs/hnodeb.pem<br>    mark=10<br>    right=172.19.2.97<br>
    rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    rightid=<a href="http://yyy.femtoforum.org">yyy.femtoforum.org</a><br>    rightcert=/etc/ipsec.d/certs/segw.pem<br>    auto=add<br>5) iptable rules setting:  (set in two sides)<br>
iptables -F<br>iptables -X<br>iptables -Z<br>iptables -P INPUT ACCEPT<br>iptables -P OUTPUT ACCEPT<br>iptables -P FORWARD ACCEPT<br>iptables -t mangle -P INPUT ACCEPT<br>iptables -t mangle -P OUTPUT ACCEPT<br>iptables -t mangle -P FORWARD ACCEPT<br>
<br>iptables -t mangle -A OUTPUT -p icmp -j DSCP --set-dscp 10<br>iptables -t mangle -A OUTPUT -p icmp -m dscp --dscp 10 -j MARK --set-mark 10<br><br><br><br>Test Result: <br><br>1)  tunnel can be established successfully <br>
[IKE] assigning virtual IP 10.0.2.3 to peer '<a href="http://xxx.femtoforum.org">xxx.femtoforum.org</a>'<br>[IKE] CHILD_SA FAP0{1} established with SPIs c7b51e9f_i c7e26a4a_o and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://10.0.2.3/32">10.0.2.3/32</a> <br>
<br>2)  when we initiate one ping from server side <br># ping 10.0.2.3 <br><br>we can see the ESP package which is icmp request, but we can't found any response from peer.  <br><br>Can you both give me some clue to find the root cause of this problem? Thanks!<br>
<br>Look forward for your answer!  <br><br><br>Best wishes,<br>David <br>