<div dir="ltr">Hi all ,<div><br></div><div>i'm currently testing some IPSEC/GRE tunnels in encounter following issue.<br></div><div>i have 2 clients on a remote site, connecting to a central gateway system.<br></div><div>

<br></div><div>                       </div><div><font face="courier new, monospace">                   ++++++++++++</font></div><div><font face="courier new, monospace">  [client 1] ------| FW site A|---( internet )--> [ tunnel server ]</font></div>

<div><font face="courier new, monospace">                   |          |</font></div><div><font face="courier new, monospace">  [client 2] ----- |          |</font></div><div><font face="courier new, monospace">                   ++++++++++++</font></div>

<div><font face="courier new, monospace"><br></font></div><div><font face="arial, helvetica, sans-serif">both client 1 & 2 are located on a internal network. there traffic will be NAT by FW site A.</font></div><div><font face="arial, helvetica, sans-serif">client 1 & 2 use NAT-t udp to encapsulate the ipsec traffic so it can be handled correct after the NAT'ing of the FW </font></div>

<div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">both client 1 & 2 have a small /24 unique private network behind it and will use a GRE tunnel to</font></div>

<div><font face="arial, helvetica, sans-serif">connect this networks with the tunnel server over public internet. IPSEC is used to secure the communication.</font></div><div><font face="arial, helvetica, sans-serif"><br>
</font></div>
<div><font face="arial, helvetica, sans-serif">client 1 GRE tunnel has a gre key of 0.0.0.1 , client 2 has a gre key of 0.0.0.2</font></div><div><font face="arial, helvetica, sans-serif">both clients and tunnel server use left|rightprotoport=47 to select gre as traffic selector.</font></div>

<div><font face="arial, helvetica, sans-serif">tunnels are created in ipsec up/down script once the IPSEC security associations  are in place </font></div><div><font face="arial, helvetica, sans-serif">between the client and tunnel server.</font></div>

<div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">when client 1 connects, the SA and CA are installed and on the tunnel server i see a traffic selector</font></div>

<div><font face="arial, helvetica, sans-serif">like  <public ip site A>/32[gre] and <tunnelserver>/32[gre]</font></div><div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">when client 2 connects, i get a error that traffic selector for  <public ip site A>/32[gre] and <tunnelserver>/32[gre]</font></div>

<div><font face="arial, helvetica, sans-serif">already exist. This seems normal as traffic selector seems only be based on both src/dst ip and protocol 47=gre.</font></div><div><font face="arial, helvetica, sans-serif"><br>

</font></div><div><font face="arial, helvetica, sans-serif">Looking into ip xfrm i noticed there is a option to specify the gre key as additional parameter for traffic selector.</font></div><div><font face="arial, helvetica, sans-serif">also , in following thread <a href="http://markmail.org/thread/5hdt42apy6bvpzkr">http://markmail.org/thread/5hdt42apy6bvpzkr</a> on netdev mailing list ,</font></div>

<div><font face="arial, helvetica, sans-serif"> it's talking about including a feature </font><span style="font-family:arial,helvetica,sans-serif">to include the gre key as differentiator and traffic selector.</span></div>

<div><font face="arial, helvetica, sans-serif"><br></font></div><div><font face="arial, helvetica, sans-serif">It seems to me this could be a solution for my problem as it would make both ipsec tunnels unique like</font></div>

<div><font face="courier new, monospace"><br></font></div><div><div><font face="courier new, monospace">client 1 : <public ip site A>/32[gre 0.0.0.1] and <tunnelserver>/32[gre 0.0.0.1]</font></div></div><div>
<div>
<font face="courier new, monospace">client 2 : <public ip site A>/32[gre 0.0.0.2] and <tunnelserver>/32[gre 0.0.0.2]</font></div></div><div><br></div><div>each CA would than be unique based on src/dst protocol=47 and the GRE key , which would make them unique.</div>

<div><br></div><div><font face="arial, helvetica, sans-serif">I'm currently looking on a way to include the GRE key into the left|rightprotoport configuration but with no great success.</font></div><div><font face="arial, helvetica, sans-serif">Is this option actually supported (?) and how would one </font><span style="font-family:arial,helvetica,sans-serif">specify this in the  left|rightprotoport configuration ?</span></div>

<div><span style="font-family:arial,helvetica,sans-serif"><br></span></div><div><span style="font-family:arial,helvetica,sans-serif">  Regards,</span></div><div><span style="font-family:arial,helvetica,sans-serif">   Luc</span></div>

<div><br></div><div><font face="courier new, monospace"><br></font></div><div><font face="courier new, monospace"><br></font></div><div><font face="courier new, monospace"><br></font></div><div><font face="courier new, monospace"><br>

</font></div><div><font face="courier new, monospace"><br></font></div><div><font face="courier new, monospace"><br><br clear="all"></font><div><br></div>---<table style="border-collapse:collapse;border-color:rgb(136,136,136);border-width:1px" height="248" width="534" border="0" cellspacing="0">

<tbody><tr><td style="width:203px;height:120px"><div style="text-align:left"></div>
<div style="text-align:left"><br>
</div>
 <br>


</td>
<td style="width:140px;height:120px"> </td>
</tr>
</tbody>
</table>

</div></div>