<div>Hello all!<br></div><div><br></div><div>I am a bit of a newcomer when it comes to IPSEC and strongSwan.</div><div>After a few days of work, I have achieved great results in setting up IPSEC tunnels but I am stalled lately trying to packet forward between the two tunnels.</div>

<div><br></div><div>Here is my setup:</div><div><br></div><div>Network A: <a href="http://192.168.1.0/29">192.168.1.0/29</a></div><div>contains a few hosts, a gateway 192.168.1.1 (Cisco RV0x2 router)</div><div>WAN interface of the gateway is 5.5.5.5. Its default gateway is a non exsistant 5.5.5.1 (I wish to configure static routes)</div>

<div><br></div><div><br></div><div>Network B: <a href="http://192.168.1.8/29">192.168.1.8/29</a></div><div>contains a few hosts, a gateway 192.168.1.9 (Cisco RV0x2 router)</div><div>WAN interface of the gateway is 5.5.5.6  Its default gateway is a non exsistant 5.5.5.1 (I wish to configure static routes)</div>

<div><br></div><div>I have a RHEL server on the WAN at 5.5.5.3.   Its default gateway is also a non exsistant 5.5.5.1 (I wish to configure static routes). WAN's network is <a href="http://5.5.5.0/29">5.5.5.0/29</a>.</div>

<div><br></div><div>This server has successfully established two IPSEC tunnels, one each to 5.5.5.5, and 5.5.5.6. The tunnels work great, traffic is decidedly encrypted in either direction from/to 5.5.5.3 to/from hosts within <a href="http://192.168.1.0/29">192.168.1.0/29</a> or hosts within <a href="http://192.168.1.8/29">192.168.1.8/29</a>.</div>

<div>First observation: IPSEC tunnels do not obtain a virtual IP address within the local subnets (which I call left subnets for both of my connections)</div><div>Second observation: strongSwan seems to take care of routing, as my RHEL server knows how to get to my left subnets without any entries in the route table. This is great!</div>

<div>Third observation: iptables -L -n -v shows all chains empty of rules. Where would the strongSwan iptables rules be kept?</div><div><br></div><div>I have turned on packet forwarding on the RHEL server at 5.5.5.3, and that works well, but not through the tunnels.</div>

<div><br></div><div>Without any further config, left subnet A hosts cannot reach left subnet B hosts through the 5.5.5.3 server, and vice versa.</div><div><br></div><div>When I setup a static route on A's gateway for <a href="http://192.168.1.8/29">192.168.1.8/29</a> to 5.5.5.3 and a static route on B's gateway for <a href="http://192.168.1.0/29">192.168.1.0/29</a> to 5.5.5.3, as well as two routes on 5.5.5.3 (<a href="http://192.168.1.0/29">192.168.1.0/29</a> to 5.5.5.5 and <a href="http://192.168.1.8/29">192.168.1.8/29</a> to 5.5.5.6), then the two left subnets can see each other, and packets are aptly forwarded by 5.5.5.3, however, this setup bypasses my tunnels! (confirmed with tcpdump on the WAN)</div>

<div><br></div><div>I have not found a way to force packet forwarding through the IPSEC tunnels. I feel like the packet forwarding routes are not considering the strongSwan established routes. I feel like there is a segragation between the hosts's normal functions, which know how to get to either subnet through the tunnels, and the host's packet forwarding features which do not know how to forward packets through the tunnels. Without the 5.5.5.3's static routes, the traffic across one left subnet to another gets rejected by 5.5.5.3 as destination unreachable, even through clearly from 5.5.5.3, I can reach in to either left subnets.</div>

<div><br></div><div>Would anyone have any idea? </div><div>Thank you kindly,</div><div><br></div><div>Frederic Demers</div><div><br></div>