
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Hi Team,</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Linux strongSwan U<b>4.5.3</b>/K2.6.32.60-2-fblfs130450-ci1-fct</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Issue: </font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3"><font face="Calibri"><b>Tunnel</b> is getting established with У<b>ByPass/PassThrough</b>Ф policy on one end and У<b>Protect</b>Ф policy on other.</font></font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">Local End: Device A</font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3" face="Calibri">а</font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">Bypass/PassThrough policy: Configured with local IP (20.20.20.141) to any(0.0.0.0)</font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">/etc/ipsec.conf:</font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3" face="Calibri">а</font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">config setup</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а plutostart=yes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а plutodebug=none</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а nat_traversal=yes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а uniqueids=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а charonstart=yes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а charondebug="dmn 1, mgr 1, ike 0, chd 1, job 0, cfg 0, knl 0, net 0, enc -1, lib -1"</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">conn %default</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а leftcert=/etc/ipsec.d/certs/btsCert.pem</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а auto=start</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а pfs=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а keyingtries=%forever</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а mobike=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">conn conn11</font></font></span></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">а type=passthrough</font></font></span></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">а leftsubnet=<a href="http://20.20.20.141/32">20.20.20.141/32</a></font></font></span></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"><span style="BACKGROUND:yellow">а rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></span></font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></div>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">ipsec status</font></font></b></div>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Connections:</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:а %any...%any</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:аа local:а [CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks] uses public key authentication</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:ааа cert:а "CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks"</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:аа remote: [%any] uses any authentication</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:аа child:а <a href="http://20.20.20.141/32">20.20.20.141/32</a> === <a href="http://0.0.0.0/0">0.0.0.0/0</a> PASS</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Security Associations (1 up, 0 connecting):</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11[2]: ESTABLISHED 5 minutes ago, 20.20.20.141[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]...20.20.20.142[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11[2]: IKE SPIs: 9dcf651b52418115_i 8ca0aedc28cc36db_r*, public key reauthentication in 2 hours</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">аа аааconn11{1}:а INSTALLED, TUNNEL, ESP SPIs: c9508643_i c1500df6_o</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11{1}:а AES_CBC_128/HMAC_SHA1_96, 38136 bytes_i (1s ago), 38136 bytes_o (1s ago), rekeying in 45 minutes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11{1}:аа <a href="http://20.20.20.141/32">20.20.20.141/32</a> === <a href="http://20.20.20.142/32">20.20.20.142/32</a></font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="TEXT-ALIGN:right;MARGIN:0in 0in 0pt" class="MsoNormal" align="right"><font size="3" face="Calibri">emo</font></p>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b>а</div>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b>а</div>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b>а</div>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b>а</div>

<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">RemoteEnd: Device B</font></font></b></div>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">Protect Policy : Local IP to remote IP</font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">/etc/ipsec.conf:</font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">config setup</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а plutostart=yes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а plutodebug=none</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а nat_traversal=yes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а uniqueids=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а charonstart=yes</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а charondebug="dmn 1, mgr 1, ike 0, chd 1, job 0, cfg 0, knl 0, net 0, enc -1, lib -1"</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">conn %default</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а leftcert=/etc/ipsec.d/certs/btsCert.pem</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а auto=start</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а pfs=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а keyingtries=%forever</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а mobike=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">conn conn11</font></font></span></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">а <b>type=tunnel</b></font></font></span></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">а leftsubnet=<a href="http://20.20.20.142/32">20.20.20.142/32</a></font></font></span></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"><span style="BACKGROUND:yellow">а rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></span></font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а left=20.20.20.142</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а right=20.20.20.141</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а keyexchange=ikev2</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">reauth=no</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а ike=aes128-sha1-modp1024,3des-sha1-modp1024!</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а ikelifetime=84437s</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а esp=aes128-sha1,3des-sha1!</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а authby=pubkey</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а rightid=%any</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а keylife=86400s</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а dpdaction=restart</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а dpddelay=10</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а dpdtimeout=120</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а rekeyfuzz=50%</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а rekeymargin=180s</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">ipsec status</font></font></b></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Connections:</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:а 20.20.20.142...20.20.20.141, dpddelay=10s</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:аа local:а [CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks] uses public key authentication</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:ааа cert:а "CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks"</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:аа remote: [%any] uses any authentication</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11:аа child:а <a href="http://20.20.20.142/32">20.20.20.142/32</a> === <a href="http://0.0.0.0/0">0.0.0.0/0</a> TUNNEL, dpdaction=restart</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Security Associations (1 up, 0 connecting):</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11[2]: ESTABLISHED 5 minutes ago, 20.20.20.142[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]...20.20.20.141[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]</font></p>


<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11[2]: IKE SPIs: 9dcf651b52418115_i* 8ca0aedc28cc36db_r, rekeying in 23 hours, public key reauthentication in 2 hours</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11{2}:а INSTALLED, TUNNEL, ESP SPIs: c1500df6_i c9508643_o</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11{2}:а AES_CBC_128/HMAC_SHA1_96, 40236 bytes_i (14s ago), 40236 bytes_o (13s ago), rekeying in 23 hours</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">ааааа conn11{2}:аа <a href="http://20.20.20.142/32">20.20.20.142/32</a> === <a href="http://20.20.20.141/32">20.20.20.141/32</a></font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Only issue is why is tunnel is getting established when we have bypass policy at one end and protect policy on other end.</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Please let me know if any other information required.</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Thanks & Regards,</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Deepak Vashisht</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">а</font></p>