<div dir="ltr">I have a fairly typical client/server IPSec/XAuth VPN configured.  It works great normally, but now I have some clients who want to use peer-to-peer apps with each other (iMessage).  It's not working, and I tracked it down to the fact that my VPN clients can see the internal network when they connect, but they cannot reach each other.<div>
<br></div><div>So for example, if one client connects on 10.10.128.1 and another connects to the same VPN server on 10.10.128.2, then they cannot ping each other.  I dumped packets and I see the encrypted ICMP echo request come into the server, and then I see the server send out an ARP request for the other IP on its primary interface.</div>
<div><br></div><div>So this looks like a routing problem, but I'm not strong enough with my routing-kung-fu to know how (or if) I can fix this.</div><div><br></div><div>Any suggestions?</div><div><br></div><div>My ipsec.conf on the server is as follows:</div>
<div><br></div><div>  conn ios</div><div>        keyexchange=ikev1</div><div>        authby=xauthrsasig</div><div>        xauth=server</div><div>        left=%defaultroute</div><div>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div>
<div>        leftcert=pw-hq.com.crt.x509.pem,pw-hq.com.crt-intermediate2.x509.pem,pw-hq.com.crt-intermediate1.x509.pem<br></div><div>        right=%any</div><div><span class="" style="white-space:pre"> </span>rightauth=pubkey</div>
<div><span class="" style="white-space:pre">    </span>rightauth2=xauth-pam</div><div>        rightsubnet=<a href="http://10.10.0.0/16">10.10.0.0/16</a></div><div>        rightsourceip=<a href="http://10.10.128.0/17">10.10.128.0/17</a></div>
<div><span class="" style="white-space:pre">    </span>rightca="C=US, ST=California, L=San Diego, O=My Company, OU=CA, CN=<a href="http://my-company.com/emailAddress=netops@my-company.com">my-company.com/emailAddress=netops@my-company.com</a>"</div>
<div>        auto=start</div><div><br></div><div>Thanks,</div><div>Mark</div></div>