<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Hi All,<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’ve gotten a tunnel established, though I can’t ping the host from the gateway. (I found out about leftsourceip) and when I added that an route add command would be issued but for some reason it fails.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here is my ipsec.conf:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># basic configuration<o:p></o:p></p><p class=MsoNormal>config setup<o:p></o:p></p><p class=MsoNormal> plutostart=yes<o:p></o:p></p><p class=MsoNormal> charonstart=no<o:p></o:p></p><p class=MsoNormal> plutodebug="all"<o:p></o:p></p><p class=MsoNormal> nat_traversal=yes<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn %default<o:p></o:p></p><p class=MsoNormal> ikelifetime=60m<o:p></o:p></p><p class=MsoNormal> keylife=29m<o:p></o:p></p><p class=MsoNormal> rekeymargin=3m<o:p></o:p></p><p class=MsoNormal> keyingtries=1<o:p></o:p></p><p class=MsoNormal> keyexchange=ikev1<o:p></o:p></p><p class=MsoNormal> auth=esp<o:p></o:p></p><p class=MsoNormal> authby=secret<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn it-vpn-test<o:p></o:p></p><p class=MsoNormal> ike=3des-md5-modp1024<o:p></o:p></p><p class=MsoNormal> esp=3des-md5<o:p></o:p></p><p class=MsoNormal> left=50.56.xxx.xxx<o:p></o:p></p><p class=MsoNormal> leftsubnet=10.178.204.18/32<o:p></o:p></p><p class=MsoNormal> leftid=50.56.xxx.xxx<o:p></o:p></p><p class=MsoNormal> leftsourceip=10.178.204.18<o:p></o:p></p><p class=MsoNormal> type=tunnel<o:p></o:p></p><p class=MsoNormal> right=151.1.xxx.xxx<o:p></o:p></p><p class=MsoNormal> rightid=151.1.xxx.xxx<o:p></o:p></p><p class=MsoNormal> rightsubnet=10.2.31.119/32<o:p></o:p></p><p class=MsoNormal> pfs=no<o:p></o:p></p><p class=MsoNormal> auto=add<o:p></o:p></p><p class=MsoNormal> leftfirewall=yes<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>For the purpose of this test I removed all my firewall rules on the test machine (accept all).<o:p></o:p></p><p class=MsoNormal>Iproutes-save output is:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Generated by iptables-save v1.4.2 on Wed Feb 29 05:54:23 2012<o:p></o:p></p><p class=MsoNormal>*filter<o:p></o:p></p><p class=MsoNormal>:INPUT ACCEPT [16460:1216434]<o:p></o:p></p><p class=MsoNormal>:FORWARD ACCEPT [0:0]<o:p></o:p></p><p class=MsoNormal>:OUTPUT ACCEPT [6095:2190390]<o:p></o:p></p><p class=MsoNormal>-A INPUT -s 10.2.31.119/32 -d 10.178.204.18/32 -i eth0 -m policy --dir in --pol ipsec --reqid 16385 --proto esp -j ACCEPT<o:p></o:p></p><p class=MsoNormal>-A FORWARD -s 10.2.31.119/32 -d 10.178.204.18/32 -i eth0 -m policy --dir in --pol ipsec --reqid 16385 --proto esp -j ACCEPT<o:p></o:p></p><p class=MsoNormal>-A FORWARD -s 10.178.204.18/32 -d 10.2.31.119/32 -o eth0 -m policy --dir out --pol ipsec --reqid 16385 --proto esp -j ACCEPT<o:p></o:p></p><p class=MsoNormal>-A OUTPUT -s 10.178.204.18/32 -d 10.2.31.119/32 -o eth0 -m policy --dir out --pol ipsec --reqid 16385 --proto esp -j ACCEPT<o:p></o:p></p><p class=MsoNormal>COMMIT<o:p></o:p></p><p class=MsoNormal># Completed on Wed Feb 29 05:54:23 2012<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Output for ip -4 a s<o:p></o:p></p><p class=MsoNormal>1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN<o:p></o:p></p><p class=MsoNormal> inet 127.0.0.1/8 scope host lo<o:p></o:p></p><p class=MsoNormal>2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000<o:p></o:p></p><p class=MsoNormal> inet 50.56.xxx.xxx/24 brd 50.56.xxx.xxx scope global eth0<o:p></o:p></p><p class=MsoNormal> inet 10.8.0.13/32 scope global eth0<o:p></o:p></p><p class=MsoNormal>3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000<o:p></o:p></p><p class=MsoNormal> inet 10.178.204.18/19 brd 10.178.223.255 scope global eth1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>output for ip -4 r s t 0<o:p></o:p></p><p class=MsoNormal>50.56.xxx.0/24 dev eth0 proto kernel scope link src 50.56.xxx.xxx<o:p></o:p></p><p class=MsoNormal>10.178.192.0/19 dev eth1 proto kernel scope link src 10.178.204.18<o:p></o:p></p><p class=MsoNormal>10.191.192.0/18 via 10.178.192.1 dev eth1<o:p></o:p></p><p class=MsoNormal>10.176.0.0/12 via 10.178.192.1 dev eth1<o:p></o:p></p><p class=MsoNormal>default via 50.56.180.1 dev eth0<o:p></o:p></p><p class=MsoNormal>broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1<o:p></o:p></p><p class=MsoNormal>broadcast 50.56.xxx.0 dev eth0 table local proto kernel scope link src 50.56.xxx.xxx<o:p></o:p></p><p class=MsoNormal>local 10.8.0.13 dev eth0 table local proto kernel scope host src 10.8.0.13<o:p></o:p></p><p class=MsoNormal>local 50.56.xxx.xxx dev eth0 table local proto kernel scope host src 50.56.xxx.xxx<o:p></o:p></p><p class=MsoNormal>local 10.178.204.18 dev eth1 table local proto kernel scope host src 10.178.204.18<o:p></o:p></p><p class=MsoNormal>broadcast 10.178.192.0 dev eth1 table local proto kernel scope link src 10.178.204.18<o:p></o:p></p><p class=MsoNormal>broadcast 10.178.223.255 dev eth1 table local proto kernel scope link src 10.178.204.18<o:p></o:p></p><p class=MsoNormal>broadcast 50.56.xxx.xxx dev eth0 table local proto kernel scope link src 50.56.xxx.xxx<o:p></o:p></p><p class=MsoNormal>broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1<o:p></o:p></p><p class=MsoNormal>local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1<o:p></o:p></p><p class=MsoNormal>local 127.0.0.0/8 dev lo table local proto kernel scope host src 127.0.0.1<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>up route produces the following output:<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>ipsec up it-vpn-test<o:p></o:p></p><p class=MsoNormal>002 "it-vpn-test" #1: initiating Main Mode<o:p></o:p></p><p class=MsoNormal>104 "it-vpn-test" #1: STATE_MAIN_I1: initiate<o:p></o:p></p><p class=MsoNormal>'003 "it-vpn-test" #1: ignoring Vendor ID payload [5acb91f739425cb2c5c090da57e9ff4a6d2ad135000000160000060a]<o:p></o:p></p><p class=MsoNormal>003 "it-vpn-test" #1: received Vendor ID payload [Dead Peer Detection]<o:p></o:p></p><p class=MsoNormal>003 "it-vpn-test" #1: ignoring Vendor ID payload [HeartBeat Notify 386b0100]<o:p></o:p></p><p class=MsoNormal>106 "it-vpn-test" #1: STATE_MAIN_I2: sent MI2, expecting MR2<o:p></o:p></p><p class=MsoNormal>108 "it-vpn-test" #1: STATE_MAIN_I3: sent MI3, expecting MR3<o:p></o:p></p><p class=MsoNormal>002 "it-vpn-test" #1: Peer ID is ID_IPV4_ADDR: '151.1.xxx.xxx'<o:p></o:p></p><p class=MsoNormal>002 "it-vpn-test" #1: ISAKMP SA established<o:p></o:p></p><p class=MsoNormal>004 "it-vpn-test" #1: STATE_MAIN_I4: ISAKMP SA established<o:p></o:p></p><p class=MsoNormal>002 "it-vpn-test" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP {using isakmp#1}<o:p></o:p></p><p class=MsoNormal>112 "it-vpn-test" #2: STATE_QUICK_I1: initiate<o:p></o:p></p><p class=MsoNormal>002 "it-vpn-test" #2: route-client output: /usr/lib/ipsec/_updown: doroute `ip route add 10.2.31.119/32 via 151.1.xxx.xxx dev eth0 src 10.178.204.18 table 220' failed (RTNETLINK answers: No such process)<o:p></o:p></p><p class=MsoNormal>002 "it-vpn-test" #2: sent QI2, IPsec SA established {ESP=>0x7deff7dc <0x01d4a387}<o:p></o:p></p><p class=MsoNormal>004 "it-vpn-test" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x7deff7dc <0x01d4a387}<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’ve read a couple of posts that says the problem is with either using a wrong shell version to run the _updown script or to missing the leftsourceip parameter. I confirmed bash is used to run the first and added the second (after which the ip route add line started appearing in the log). But no luck after this.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Any idea where did I go wrong?<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Thanks & Best Regards,<o:p></o:p></p><p class=MsoNormal>Mo<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>