<div dir="ltr"><div><div><div>Hi,<br></div><br></div>i have a IPSec Tunnel in forwarding setup as below. <br><br>Host X ---plain packets--- EP-A ---ipsec tunnel----EP-B ---plain packet--- HOST Y<br></div><div><div><br></div><div>Host X and Host Y communicate to each other (eg. ping) with 2 next hops in between EP-A and EP-B.<br>IPSec Tunnel is setup b/w EP-A and EP-B to encrypt all Traffic (<a href="http://0.0.0.0/0">0.0.0.0/0</a> -- <a href="http://0.0.0.0/0">0.0.0.0/0</a>) <br><br>i could see the traffic from X reach to EP-A, but from there it is not able to forward packets to EP-B via tunnel.<br>There are XfrmInTmplMismatch  error counters increasing.<br><br></div><div>After debugging, it looks  that the plain packet (skb->sp = NULL) <br>which reach to EP-A, trying to match either with "in" or "fwd" template in __xfrm_policy_check. this checks fails and packets getting dropped with XfrmInTmplMismatch  error counters increasing.<br></div><div><br></div><div>in short if plain incoming packets, matches to "fwd" or "in" policy this error counter increase and packets get drop.<br></div><div><br></div><div>Is this a expected behavior ? or there any bug in kernel (xfrm) ?<br></div><div><br># ip xfrm policy<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a> proto icmp <br>    dir fwd priority 3002 <br>    tmpl src 20.0.0.2 dst 20.0.0.1<br>        proto esp reqid 0 mode tunnel<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a> proto icmp <br>    dir in priority 3002 <br>    tmpl src 20.0.0.2 dst 20.0.0.1<br>        proto esp reqid 16385 mode tunnel<br>src <a href="http://0.0.0.0/0">0.0.0.0/0</a> dst <a href="http://0.0.0.0/0">0.0.0.0/0</a> proto icmp <br>    dir out priority 3002 <br>    tmpl src 20.0.0.1 dst 20.0.0.2<br>        proto esp reqid 16384 mode tunnel<br></div><div><br><br></div><div>P.S. without ipsec traffic flows fine so there is no route issue.<br><br><br></div><div>Thanks !<br><br></div><div>Best Regards,<br></div><div>Deepak<br><br></div></div></div>