<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=us-ascii"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri","sans-serif";
mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:#0563C1;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:#954F72;
text-decoration:underline;}
span.E-MailFormatvorlage17
{mso-style-type:personal;
font-family:"Calibri","sans-serif";
color:windowtext;}
span.E-MailFormatvorlage18
{mso-style-type:personal-reply;
font-family:"Calibri","sans-serif";
color:#1F497D;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
{page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]--></head><body lang=DE link="#0563C1" vlink="#954F72"><div class=WordSection1><p class=MsoNormal><span lang=EN-US>Hello,<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>I have set up an vpn environment<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>[Internet]----[publicip] vpn server [192.167.147.1] ----- [192.167.147.2] Android1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US> |-----[192.168.147.3] Android2<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US> |---- [192.167.145.0/24] [fritzboxm] <o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>So far each connection is established and Android1 and Android2 can access the internet via vpn and can ping the vpn server. Unfortunately I cannot ping between the vpn clients and from and to fritzboxm. Has anybody any idea what might be wrong with my configuration?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Kind regards<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>Marc<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Strongswan config:<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># strongswan.conf - strongSwan configuration file<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>charon {<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># number of worker threads in charon<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>threads = 16<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># send strongswan vendor ID?<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># send_vendor_id = yes<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>dns1 = 8.8.4.4<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>dns2 = 8.8.8.8<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>nbns1 = 192.167.145.50<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>nbns1 = 192.167.144.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>plugins {<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>sql {<o:p></o:p></span></p><p class=MsoNormal style='margin-left:70.8pt'><span lang=EN-US># loglevel to log into sql database<o:p></o:p></span></p><p class=MsoNormal style='margin-left:70.8pt'><span lang=EN-US>loglevel = -1<o:p></o:p></span></p><p class=MsoNormal style='margin-left:70.8pt'><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal style='margin-left:70.8pt'><span lang=EN-US># URI to the database<o:p></o:p></span></p><p class=MsoNormal style='margin-left:70.8pt'><span lang=EN-US># database = sqlite:///path/to/file.db<o:p></o:p></span></p><p class=MsoNormal style='margin-left:70.8pt'><span lang=EN-US># database = mysql://user:password@localhost/database<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>}<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>}<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># ...<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>}<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>pluto {<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>}<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>libstrongswan {<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># set to no, the DH exponent size is optimized<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># dh_exponent_ansi_x9_42 = no<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>}<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal>Ipsec.conf<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-US># ipsec.conf - strongSwan IPsec configuration file<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># basic configuration<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>config setup<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># plutodebug=all<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># crlcheckinterval=600<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># strictcrlpolicy=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># cachecrls=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># nat_traversal=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US># uniqueids=no<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>charondebug="cfg 2, dmn 2, ike 2, net 2"<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>conn %default<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>keyexchange=ike<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>dpdaction=clear<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>dpddelay=300s<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rekey=no<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>reauth=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftfirewall=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightfirewall=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>lefthostaccess=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>righthostaccess=yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>type=passthrough<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>conn Android1<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>left=[public_ip]<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftsourceip=192.167.147.1<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftid="C=DE, O=[domainname], CN=[domainname].de"<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftsubnet=0.0.0.0/0<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftauth=pubkey<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftcert=vpnHostCert.pem<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>right=%any<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightid="C=DE, O=[domainname], <a href="mailto:CN=Android1@[domainname].de">CN=Android1@[domainname].de</a>"<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightsourceip=192.167.147.2<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightauth=pubkey<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightauth2=eap-mschapv2<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>eap_identity=%any<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>auto=add<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>conn Android2<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>left=[public_ip]<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftid="C=DE, O=[domainname], CN=[domainname].de"<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftsubnet=0.0.0.0/0<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftauth=pubkey<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftcert=vpnHostCert.pem<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>right=%any<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightid="C=DE, O=[domainname], <a href="mailto:CN=Android2@[domainname].de">CN=Android2@[domainname].de</a>"<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightsourceip=192.167.147.3<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightauth=pubkey<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightauth2=eap-mschapv2<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>#rightsendcert=never # see note<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>eap_identity=%any<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>auto=add<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>conn fritzboxm<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftsourceip=192.167.147.1<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>ikelifetime=3600s<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftauth=psk<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightauth=psk<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>left=[public_ip]<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>leftsubnet=192.167.144.0/24,192.167.147.0/24<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>right=%[dynip]<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightallowany = yes<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US>rightid="@ dynip "<o:p></o:p></span></p><p class=MsoNormal style='margin-left:35.4pt'>rightsubnet=192.167.145.0/24<o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'>auto=add<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><b>F</b>irewall Rules<o:p></o:p></p><p class=MsoNormal><o:p> </o:p></p><p class=MsoNormal><span lang=EN-US># Set default policies for all three default chains<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -P INPUT ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -P FORWARD ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -P OUTPUT ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># VPN NAT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># Ensure that all packets destined for local addresses start at our local address<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># iptables -t nat -A POSTROUTING --src 192.167.144.0/22 --dst 192.167.144.0/22 -j SNAT --to-source 192.167.147.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># iptables -t nat -A POSTROUTING ! --src 192.167.144.0/22 --dst 192.167.144.0/22 -j SNAT --to-source 192.167.147.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># Ensure that all packets destined for the Internet start at our public address<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -t nat -A POSTROUTING --src 192.167.144.0/22 ! --src 192.167.144.0/22 ! -p esp -j SNAT --to-source [public_ip]<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># iptables -t nat -A POSTROUTING -s 192.167.144.0/22 -o eth0 -j MASQUERADE<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -t nat -A POSTROUTING -s 192.167.144.0/22 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># iptables -t nat -A POSTROUTING -o eth0 ! -p esp -j SNAT --to-source [public_ip]<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># Enable free use of loopback interfaces<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -A INPUT -i lo -j ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -A OUTPUT -o lo -j ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># Accept limited inbound ICMP messages<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -I INPUT -p icmp --icmp-type echo-request -m recent --set<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -I INPUT -p icmp --icmp-type echo-request -m recent --update --seconds 5 --hitcount 10 -j DROP<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iptables -A INPUT -p icmp -j ACCEPT<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US>Routing (interface)<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># This file describes the network interfaces available on your system<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># and how to activate them. For more information, see interfaces(5).<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># The loopback network interface<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>auto lo<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iface lo inet loopback<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US># The primary network interface<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>auto eth0<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iface eth0 inet static<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>address [public_ip]<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>netmask 255.255.255.128<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>network 185.11.136.0<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>broadcast 185.11.136.127<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>gateway 185.11.136.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US># dns-* options are implemented by the resolvconf package, if installed<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>dns-nameservers 95.129.51.50 8.8.8.8 95.129.53.235<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>dns-search customer.xenway.de<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>auto eth0:1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>iface eth0:1 inet static<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>address 192.167.147.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>gateway 192.167.147.1<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>netmask 255.255.255.0<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US>up ip route add 192.167.144.0/22 via 192.167.147.1 || true<o:p></o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p><p class=MsoNormal><span lang=EN-US><o:p> </o:p></span></p></div></body></html>