
<div dir="ltr"><div><div><div><div>Hi<br><br></div>Maybe the attached ipsec.conf files for Hub and spokes (2 spokes) would be useful. It worked for me nicely in my setup which is also attached<br><br></div>PS: The attachment is a rar file (zipped using winrar)<br><br></div>thanks & regards<br></div>rajiv<br><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sun, Mar 29, 2015 at 2:43 AM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><br>

-----BEGIN PGP SIGNED MESSAGE-----<br>

Hash: SHA256<br>

<br>

Hello Aleksey<br>

<br>

You need to define every net-to-net tunnel manually in ipsec.conf or swanctl.conf.<br>

The tunneled subnets for every spoke configuration on the hub would be<br>

    leftsubnet=allOtherSpokeNetworks<br>

    rightsubnet=SpokeNetwork<br>

<br>

On the spokes, the declaration would be the reverse of that.<br>

<br>

You can only use a host that is reachable on layer two as router for another host.<br>

So you cannot do that. You can, however, set the dscp value in the IP packets you want to be routed by the hub, for example, and use policy<br>

based routing on the hub to handle them in a special way.<br>

<br>

Mit freundlichen Grüßen/Kind Regards,<br>

Noel Kuntze<br>

<br>

GPG Key ID: 0x63EC6658<br>

Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>

<br>

Am 28.03.2015 um 16:12 schrieb unite:<br>

> Hi guys!<br>

><br>

> Is there a way to configure strongswan in a site-to-site hub-and-spoke topology, so for me to have for example strongswan hub in central office and having multiple spokes whose traffic between each other should be routed through the central office? I haven't found a guide on the net, so it would be very helpful for me if you can point me to the one, or just explain how can I configure my tunnels in such a way.<br>

><br>

> Also, I guess pretty similar question, can I configure clients in spoke's network to use central office as a default gateway, so their traffic should be routed encrypted to the central office, then decrypted and sent to the receiver?<br>

><br>

> Thnaks in advance.<br>

><br>

<br>

-----BEGIN PGP SIGNATURE-----<br>

Version: GnuPG v2<br>

<br>

iQIcBAEBCAAGBQJVFxlwAAoJEDg5KY9j7GZYkjkQAIUuKF3re3g/hNjDaTvJ4kWs<br>

a72D4nJzFRKx+mkCIbSmZIgLD7SPYisX3Qrez5GQLuUp6kyR/+GyE71aUZmIG6zz<br>

vtlu2h3Ns6C7Ru6l+G/NOlJDVpJr4hp1p5QMr1aJpzkB0Ecb5T+uNaJiZNZ0BhXn<br>

bnKiYt+8dDVmcIeF6h313LIKrwFVFGlO7RasKNDKlzDBs66MB4fhCk3ZkgPQk8IE<br>

u0XWrBNfXBiiXk5DvND5gLzjWlPOZHDWYbffrV2STPxrjvcyGIaGd611D4u68jaq<br>

tS/L6nFo5qWL5nyEHb4iA2nCdJFLYLqQk94TEIJVhSNfjJU9lexpmRvjl9v2dd8+<br>

J0E78ZLcm0kVkfcpKR0T7O099WRGCOGYMwUK8Sq9cFUConhFzMWAOgJrP/lo9sx8<br>

LOstUcStDHIycJHbsqhHyNuZrCr/aDLJe3Ua7pkvYnObFopPUMPdmq8ScPDOGKO8<br>

HQNf1pBX3zisU0UzPHMSqp7YUiqm39qwHOfU9O9C5pB6HPDnearzhZQxLy/wHA4S<br>

KC2etzL2dYtmUiGlqgVFNXFgWFxiTcGGTM/zLfJcuc1fovyqPQvZJsx6VCGMu6zx<br>

32hWDkLnG8mgKaqpMPWQ9wZPAmkeKL1yLEAlx2mPfFOIDiym0pivHrYpQ0Wt+bFU<br>

0DlJqnFIfStXutevJOGr<br>

=Eh3R<br>

-----END PGP SIGNATURE-----<br>

<br>

<br>

_______________________________________________<br>

Users mailing list<br>

<a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>

<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a></blockquote></div><br></div>