<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Hi Team,</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Linux strongSwan U<b>4.5.3</b>/K2.6.32.60-2-fblfs130450-ci1-fct</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Issue: </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3"><font face="Calibri"><b>Tunnel</b> is getting established with “<b>ByPass/PassThrough</b>” policy on one end and “<b>Protect</b>” policy on other.</font></font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">Local End: Device A</font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3" face="Calibri"> </font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">Bypass/PassThrough policy: Configured with local IP (20.20.20.141) to any(0.0.0.0)</font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">/etc/ipsec.conf:</font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3" face="Calibri"> </font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">config setup</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  plutostart=yes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  plutodebug=none</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  nat_traversal=yes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  uniqueids=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  charonstart=yes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  charondebug="dmn 1, mgr 1, ike 0, chd 1, job 0, cfg 0, knl 0, net 0, enc -1, lib -1"</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">conn %default</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  leftcert=/etc/ipsec.d/certs/btsCert.pem</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  auto=start</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  pfs=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  keyingtries=%forever</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  mobike=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">conn conn11</font></font></span></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">  type=passthrough</font></font></span></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">  leftsubnet=<a href="http://20.20.20.141/32">20.20.20.141/32</a></font></font></span></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"><span style="BACKGROUND:yellow">  rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></span></font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></div>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">ipsec status</font></font></b></div>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Connections:</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:  %any...%any</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:   local:  [CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks] uses public key authentication</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:    cert:  "CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks"</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:   remote: [%any] uses any authentication</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:   child:  <a href="http://20.20.20.141/32">20.20.20.141/32</a> === <a href="http://0.0.0.0/0">0.0.0.0/0</a> PASS</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Security Associations (1 up, 0 connecting):</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11[2]: ESTABLISHED 5 minutes ago, 20.20.20.141[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]...20.20.20.142[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11[2]: IKE SPIs: 9dcf651b52418115_i 8ca0aedc28cc36db_r*, public key reauthentication in 2 hours</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11{1}:  INSTALLED, TUNNEL, ESP SPIs: c9508643_i c1500df6_o</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11{1}:  AES_CBC_128/HMAC_SHA1_96, 38136 bytes_i (1s ago), 38136 bytes_o (1s ago), rekeying in 45 minutes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11{1}:   <a href="http://20.20.20.141/32">20.20.20.141/32</a> === <a href="http://20.20.20.142/32">20.20.20.142/32</a></font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="TEXT-ALIGN:right;MARGIN:0in 0in 0pt" class="MsoNormal" align="right"><font size="3" face="Calibri">emo</font></p>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b> </div>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b> </div>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b> </div>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"></font></font></b> </div>
<div style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">RemoteEnd: Device B</font></font></b></div>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">Protect Policy : Local IP to remote IP</font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">/etc/ipsec.conf:</font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">config setup</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  plutostart=yes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  plutodebug=none</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  nat_traversal=yes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  uniqueids=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  charonstart=yes</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  charondebug="dmn 1, mgr 1, ike 0, chd 1, job 0, cfg 0, knl 0, net 0, enc -1, lib -1"</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">conn %default</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  leftcert=/etc/ipsec.d/certs/btsCert.pem</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  auto=start</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  pfs=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  keyingtries=%forever</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  mobike=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">conn conn11</font></font></span></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">  <b>type=tunnel</b></font></font></span></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><span style="BACKGROUND:yellow"><font size="3"><font face="Calibri">  leftsubnet=<a href="http://20.20.20.142/32">20.20.20.142/32</a></font></font></span></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri"><span style="BACKGROUND:yellow">  rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></span></font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  left=20.20.20.142</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  right=20.20.20.141</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  keyexchange=ikev2</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">reauth=no</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  ike=aes128-sha1-modp1024,3des-sha1-modp1024!</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  ikelifetime=84437s</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  esp=aes128-sha1,3des-sha1!</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  authby=pubkey</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  rightid=%any</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  keylife=86400s</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  dpdaction=restart</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  dpddelay=10</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  dpdtimeout=120</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  rekeyfuzz=50%</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">  rekeymargin=180s</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><b><font size="3"><font face="Calibri">ipsec status</font></font></b></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Connections:</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:  20.20.20.142...20.20.20.141, dpddelay=10s</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:   local:  [CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks] uses public key authentication</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:    cert:  "CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks"</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:   remote: [%any] uses any authentication</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11:   child:  <a href="http://20.20.20.142/32">20.20.20.142/32</a> === <a href="http://0.0.0.0/0">0.0.0.0/0</a> TUNNEL, dpdaction=restart</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Security Associations (1 up, 0 connecting):</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11[2]: ESTABLISHED 5 minutes ago, 20.20.20.142[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]...20.20.20.141[CN=<a href="http://RY110409750.nokiasiemensnetworks.com">RY110409750.nokiasiemensnetworks.com</a>, O=Nokia Siemens Networks]</font></p>

<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11[2]: IKE SPIs: 9dcf651b52418115_i* 8ca0aedc28cc36db_r, rekeying in 23 hours, public key reauthentication in 2 hours</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11[2]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11{2}:  INSTALLED, TUNNEL, ESP SPIs: c1500df6_i c9508643_o</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11{2}:  AES_CBC_128/HMAC_SHA1_96, 40236 bytes_i (14s ago), 40236 bytes_o (13s ago), rekeying in 23 hours</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">      conn11{2}:   <a href="http://20.20.20.142/32">20.20.20.142/32</a> === <a href="http://20.20.20.141/32">20.20.20.141/32</a></font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Only issue is why is tunnel is getting established when we have bypass policy at one end and protect policy on other end.</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Please let me know if any other information required.</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Thanks & Regards,</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri">Deepak Vashisht</font></p>
<p style="MARGIN:0in 0in 0pt" class="MsoNormal"><font size="3" face="Calibri"> </font></p>