<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 14 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
{font-family:Tahoma;
panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0in;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
{mso-style-priority:99;
mso-style-link:"Balloon Text Char";
margin:0in;
margin-bottom:.0001pt;
font-size:8.0pt;
font-family:"Tahoma","sans-serif";}
span.EmailStyle17
{mso-style-type:personal-compose;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.BalloonTextChar
{mso-style-name:"Balloon Text Char";
mso-style-priority:99;
mso-style-link:"Balloon Text";
font-family:"Tahoma","sans-serif";}
.MsoChpDefault
{mso-style-type:export-only;
font-family:"Calibri","sans-serif";}
@page WordSection1
{size:8.5in 11.0in;
margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=EN-US link=blue vlink=purple><div class=WordSection1><p class=MsoNormal>Good morning, all!<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m working on some bits of configuration for a production VPN. I have a successful EAP-MSCHAPV2 connection from a test virtual server to my Strongswan vpn server. However, I cannot access the network behind the VPN server. I have enabled IP forwarding on the server. My test client still shows traceroute ending at the VPN server.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Here is the traceroute:<o:p></o:p></p><p class=MsoNormal>C:\Users\Gregg Hughes>tracert 192.168.1.101<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Tracing route to 192.168.1.101 over a maximum of 30 hops<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal> 1 156 ms 200 ms 34 ms 192.168.1.102<o:p></o:p></p><p class=MsoNormal> 2 * * * Request timed out.<o:p></o:p></p><p class=MsoNormal> 3 * * * Request timed out.<o:p></o:p></p><p class=MsoNormal> 4 * * * Request timed out.<o:p></o:p></p><p class=MsoNormal> 5 * * * Request timed out.<o:p></o:p></p><p class=MsoNormal> 6 * * * Request timed out.<o:p></o:p></p><p class=MsoNormal> 7 * * * Request timed out.<o:p></o:p></p><p class=MsoNormal> 8 * * ^C<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>This VPN server has one virtual interface, 192.168.1.102. It will be opened up via static NAT to the outside world. The internal networks are on the same IP segment as the VPN server or accessible from that network. The host firewall is disabled for testing.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>/etc/network/interfaces:<o:p></o:p></p><p class=MsoNormal># This file describes the network interfaces available on your system<o:p></o:p></p><p class=MsoNormal># and how to activate them. For more information, see interfaces(5).<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># The loopback network interface<o:p></o:p></p><p class=MsoNormal>auto lo<o:p></o:p></p><p class=MsoNormal>iface lo inet loopback<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># The primary network interface<o:p></o:p></p><p class=MsoNormal>auto eth0<o:p></o:p></p><p class=MsoNormal>iface eth0 inet static<o:p></o:p></p><p class=MsoNormal>address 192.168.1.102<o:p></o:p></p><p class=MsoNormal>netmask 255.255.255.0<o:p></o:p></p><p class=MsoNormal>gateway 192.168.1.1<o:p></o:p></p><p class=MsoNormal>network 192.168.1.0<o:p></o:p></p><p class=MsoNormal>broadcast 192.168.1.255<o:p></o:p></p><p class=MsoNormal>dns-search XXXX.com<o:p></o:p></p><p class=MsoNormal>dns-nameservers XXX.XXX.XXX.XXX<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>and ipsec.conf<o:p></o:p></p><p class=MsoNormal>config setup<o:p></o:p></p><p class=MsoNormal> # plutodebug=all<o:p></o:p></p><p class=MsoNormal> crlcheckinterval=180<o:p></o:p></p><p class=MsoNormal> strictcrlpolicy=no<o:p></o:p></p><p class=MsoNormal> # cachecrls=yes<o:p></o:p></p><p class=MsoNormal> # nat_traversal=yes<o:p></o:p></p><p class=MsoNormal> charonstart=yes<o:p></o:p></p><p class=MsoNormal> plutostart=no<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal># Add connections here.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn %default<o:p></o:p></p><p class=MsoNormal> ikelifetime=60m<o:p></o:p></p><p class=MsoNormal> keylife=20m<o:p></o:p></p><p class=MsoNormal> rekeymargin=3m<o:p></o:p></p><p class=MsoNormal> keyingtries=1<o:p></o:p></p><p class=MsoNormal> keyexchange=ikev2<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn net-net<o:p></o:p></p><p class=MsoNormal> left=192.168.1.102<o:p></o:p></p><p class=MsoNormal> leftsubnet=192.168.0.0/16<o:p></o:p></p><p class=MsoNormal> leftid=@vpn1<o:p></o:p></p><p class=MsoNormal> leftfirewall=yes<o:p></o:p></p><p class=MsoNormal> right=67.53.158.25<o:p></o:p></p><p class=MsoNormal> rightsubnet=192.168.0.0/16<o:p></o:p></p><p class=MsoNormal> rightid=@vpn2<o:p></o:p></p><p class=MsoNormal> auto=add<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>conn rw-eap-bluemound<o:p></o:p></p><p class=MsoNormal> left=192.168.1.102<o:p></o:p></p><p class=MsoNormal> # leftsourceip=%config<o:p></o:p></p><p class=MsoNormal> leftsubnet=192.168.0.0/16<o:p></o:p></p><p class=MsoNormal> leftid=@vpn1<o:p></o:p></p><p class=MsoNormal> leftcert=vpn1cert.pem<o:p></o:p></p><p class=MsoNormal> leftauth=pubkey<o:p></o:p></p><p class=MsoNormal> leftfirewall=yes<o:p></o:p></p><p class=MsoNormal> lefthostaccess = yes<o:p></o:p></p><p class=MsoNormal> right=%any<o:p></o:p></p><p class=MsoNormal> rightauth=eap-mschapv2<o:p></o:p></p><p class=MsoNormal> rightsendcert=never<o:p></o:p></p><p class=MsoNormal> rightsourceip=192.168.200.161/28<o:p></o:p></p><p class=MsoNormal> eap_identity=%any<o:p></o:p></p><p class=MsoNormal> auto=add<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>The lefthostaccess parameter was added today, with no change in behavior, as were changes in the leftsourceip directive. The rightsourceip range is good, with no address conflicts. The test client has no problem with the assigned address.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I added another interface to see if there was any issue there, again, with no change in behavior. I also researched ip route on the server, and haven’t found the answer there.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>I’m pretty sure there’s something easy here, but I must be overlooking it.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Many thanks for looking at this and any hints as to where to look to correct the problem.<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal>Gregg<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><table class=MsoTableGrid border=0 cellspacing=0 cellpadding=0 style='border-collapse:collapse;border:none'><tr><td width=319 valign=top style='width:239.4pt;padding:0in 5.4pt 0in 5.4pt'><p class=MsoNormal><b><span style='color:black'>Gregg Hughes</span></b><span style='color:black'><o:p></o:p></span></p><p class=MsoNormal><span style='color:black'>IT Administrator<o:p></o:p></span></p><p class=MsoNormal><span style='color:black'>www.iscinternational.com<o:p></o:p></span></p><p class=MsoNormal><span style='color:black'>414.721.0301 phone<o:p></o:p></span></p><p class=MsoNormal><span style='color:black'>262.313.3106 fax<o:p></o:p></span></p><p class=MsoNormal><o:p> </o:p></p></td><td width=319 valign=top style='width:239.4pt;padding:0in 5.4pt 0in 5.4pt'></td></tr></table><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><o:p> </o:p></p></div></body></html>