<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial"><div>Hi, Noel</div><div><br></div><div>I think this is a bug of strongswan. When strongswan run as vpn gateway, there is another default ip, the packets from the hosts will not pass this vpn tunnel.</div><div>network topology:</div><div><br></div><div>10.1.0.10 <---->10.1.0.1 (moon) 192.168.0.1<----->192.168.0.2 (sun) 10.2.0.1<---->10.2.0.10<br>moon has another default gw(1.1.1.1), that is, the packets from 10.1.0.10 to 10.2.0.10 will not hit this rule "10.2.0.0/16 via 192.168.0.2 dev eth0  proto static  src 10.1.0.1 ", and the packets from 10.1.0.10 to 10.2.0.10 will be sent to default gw (1.1.1.1). Then these packets will not pass vpn tunnel to 10.2.0.10.<br></div><div><br></div><div>So it is not correct. Maybe we should add a new route rule in table 220.<br>10.2.0.0/16 via 192.168.0.2 dev eth0  proto static  src 10.1.0.10</div><div><br></div><div>Then the packets from 10.1.0.10 to 10.2.0.10 will pass vpn tunnle to reach 10.2.0.10.</div><div><br></div><div>If any problem, please let me know.</div><div><br></div><div>Thanks a lot.</div><div>Zhu Yanjun<br></div><div style="position: relative; -ms-zoom: 1;"></div><div id="divNeteaseMailCard"></div><div><br></div>At 2015-05-09 21:07:20, "mounter625" <13621209832@163.com> wrote:<br> <blockquote id="isReplyContent" style="margin: 0px 0px 0px 0.8ex; padding-left: 1ex; border-left-color: rgb(204, 204, 204); border-left-width: 1px; border-left-style: solid;"><div style="color: rgb(0, 0, 0); line-height: 1.7; font-family: Arial; font-size: 14px;"><div>Hi, Neol</div><div><br></div><div>I checked route table 220, and found this rule:</div><div><br></div><div>10.2.0.0/16 via 192.168.0.2 dev eth0  proto static  src 10.1.0.1 <br></div><div><br></div><div>I think this rule only permit src address 10.1.0.1 packets to pass eth0. The other src address packets will not hit this route rule.</div><div><br></div><div>Maybe this is the root cause.</div><div><br></div><div>Best Regards!</div><div>Zhu Yanjun<br><br><br><br></div><div style="position: relative; -ms-zoom: 1;"></div><div></div><div><br></div><pre><br>At 2015-05-09 07:22:12, "Noel Kuntze" <<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a>> wrote:
>
>-----BEGIN PGP SIGNED MESSAGE-----
>Hash: SHA256
>
>Hello Zhuyj,
>
>Please check the routing in your network. The answer packets from the host you are
>trying to ping need to reach back the client. See [1] for information
>
>[1] https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling#Hosts-on-the-LAN
>
>Mit freundlichen Grüßen/Kind Regards,
>Noel Kuntze
>
>GPG Key ID: 0x63EC6658
>Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658
>
>Am 08.05.2015 um 12:18 schrieb zhuyj:
>> On moon:
>>
>> I found the icmp does not pass vpn tunnel instead these icmp packets pass eth1 directly.
>> I created a vpn tunnel through eth1.
>>
>> tcpdump -ni eth1 icmp
>> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>> listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
>> 18:13:50.095301 IP 10.1.0.10 > 10.2.0.1: ICMP echo request, id 1757, seq 37, length 64
>> 18:13:50.095465 IP 10.2.0.1 > 10.1.0.10: ICMP echo reply, id 1757, seq 37, length 64
>> 18:13:51.103324 IP 10.1.0.10 > 10.2.0.1: ICMP echo request, id 1757, seq 38, length 64
>> 18:13:51.103478 IP 10.2.0.1 > 10.1.0.10: ICMP echo reply, id 1757, seq 38, length 64
>>
>> Does anyone has idea?
>>
>> Any reply is appreciated.
>>
>> Zhu Yanjun
>>
>> On 05/08/2015 06:14 PM, yzhu1 wrote:
>>> On moon:
>>> Iptables rules:
>>>
>>> # Generated by iptables-save v1.4.21 on Fri May  8 18:10:58 2015
>>> *filter
>>> :INPUT ACCEPT [4274:596163]
>>> :FORWARD ACCEPT [0:0]
>>> :OUTPUT ACCEPT [190:20743]
>>> -A INPUT -s 10.2.0.0/16 -d 10.4.0.1/32 -i eth1 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
>>> -A FORWARD -s 10.2.0.0/16 -d 10.4.0.1/32 -i eth1 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT
>>> -A FORWARD -s 10.4.0.1/32 -d 10.2.0.0/16 -o eth1 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
>>> -A OUTPUT -s 10.4.0.1/32 -d 10.2.0.0/16 -o eth1 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT
>>> COMMIT
>>> # Completed on Fri May  8 18:10:58 2015
>>>
>>>  ip -4 r s table all
>>> 10.2.0.0/16 via 192.168.0.2 dev eth1  table 220  proto static  src 10.4.0.1
>>> default via 128.224.162.1 dev eth0  proto static
>>> 10.1.0.0/16 dev eth2  proto kernel  scope link  src 10.1.0.1
>>> 128.224.162.0/23 dev eth0  proto kernel  scope link  src 128.224.163.143  metric 1
>>> 192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1
>>> broadcast 10.1.0.0 dev eth2  table local  proto kernel  scope link  src 10.1.0.1
>>> local 10.1.0.1 dev eth2  table local  proto kernel  scope host src 10.1.0.1
>>> broadcast 10.1.255.255 dev eth2  table local  proto kernel  scope link  src 10.1.0.1
>>> local 10.4.0.1 dev eth1  table local  proto kernel  scope host src 10.4.0.1
>>> broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link src 127.0.0.1
>>> local 127.0.0.0/8 dev lo  table local  proto kernel  scope host src 127.0.0.1
>>> local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
>>> broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
>>> broadcast 128.224.162.0 dev eth0  table local  proto kernel  scope link  src 128.224.163.143
>>> local 128.224.163.143 dev eth0  table local  proto kernel  scope host  src 128.224.163.143
>>> broadcast 128.224.163.255 dev eth0  table local  proto kernel scope link  src 128.224.163.143
>>> broadcast 192.168.0.0 dev eth1  table local  proto kernel  scope link  src 192.168.0.1
>>> local 192.168.0.1 dev eth1  table local  proto kernel  scope host src 192.168.0.1
>>> broadcast 192.168.0.255 dev eth1  table local  proto kernel  scope link  src 192.168.0.1
>>>
>>> cat /proc/sys/net/ipv4/ip_forward
>>> 1
>>>
>>>
>>> On 05/08/2015 06:01 PM, zhuyj wrote:
>>>> Hi, all
>>>>
>>>> I configured 4 vmare hosts. The hosts are ubuntu14.04. The gateway moon does not forward icmp packets.
>>>>
>>>> The network topology is as below.
>>>>
>>>> 10.1.0.10 <---->10.1.0.1 (moon) 192.168.0.1<----->192.168.0.2 (sun) 10.2.0.1<---->10.2.0.10
>>>>
>>>> strongswan is 5.3.0.
>>>>
>>>> On moon
>>>> /usr/local/etc/ipsec.conf is as below:
>>>>
>>>> config setup
>>>>
>>>> conn %default
>>>>     ikelifetime=60m
>>>>     keylife=20m
>>>>     rekeymargin=3m
>>>>     keyingtries=1
>>>>     authby=secret
>>>>     keyexchange=ikev2
>>>>     mobike=no
>>>>
>>>> conn net-net
>>>>     left=%defaultroute
>>>>     leftsourceip=%config
>>>>     leftfirewall=yes
>>>>     leftid=@moon.strongswan.org
>>>>     right=192.168.0.2
>>>>     rightsubnet=10.2.0.0/16
>>>>     rightid=@sun.strongswan.org
>>>>     auto=add
>>>> /usr/local/etc/ipsec.secrets is as below:
>>>>
>>>> : PSK 0sFpZAZqEN6Ti9sqt4ZP5EWcqx
>>>>
>>>> On Sun
>>>> /usr/local/etc/ipsec.conf is as below:
>>>> config setup
>>>>
>>>> conn %default
>>>>     ikelifetime=60m
>>>>     keylife=20m
>>>>     rekeymargin=3m
>>>>     keyingtries=1
>>>>     authby=secret
>>>>     keyexchange=ikev2
>>>>     mobike=no
>>>>
>>>> conn net-net
>>>>     left=192.168.0.2
>>>>     leftsubnet=10.2.0.0/16
>>>>     leftid=@sun.strongswan.org
>>>>     leftfirewall=yes
>>>>     right=192.168.0.1
>>>>     rightid=@moon.strongswan.org
>>>>     auto=add
>>>>     rightsourceip=10.4.0.0/24
>>>>
>>>> /usr/local/etc/ipsec.secrets is as below:
>>>>
>>>> : PSK 0sFpZAZqEN6Ti9sqt4ZP5EWcqx
>>>>
>>>> Others remain unchanged.
>>>>
>>>> I ran "ping 10.2.0.10" on clinet 10.1.0.10. But I can not get any reply from 10.2.0.10.
>>>>
>>>> I can find the icmp packets into moon. But moon will not forward these icmp packets.
>>>>
>>>> After an iptables rule (iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -j MASQUERADE) is run in
>>>> sun, I can ping 10.2.0.10 on moon.
>>>>
>>>> But I can not ping 10.2.0.1 on client 10.1.0.10.
>>>>
>>>> That is, moon can reach client 10.2.0.10.But client 10.10.10 can not reach sun.
>>>>
>>>> 10.1.0.10 <---->10.1.0.1 (moon) 192.168.0.1<----->192.168.0.2 (sun) 10.2.0.1<---->10.2.0.10
>>>> icmp------------------------------------------------------------------>here
>>>> icmp----------->
>>>>
>>>> In a word, moon can not forward icmp packets.
>>>>
>>>> Does any one have the similar experience?
>>>>
>>>> Any reply is appreciated.
>>>>
>>>> Thanks a lot.
>>>> Zhu Yanjun
>>>>
>>>>
>>>> _______________________________________________
>>>> Users mailing list
>>>> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>
>>>> https://lists.strongswan.org/mailman/listinfo/users
>>>>
>>>
>>> _______________________________________________
>>> Users mailing list
>>> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>
>>> https://lists.strongswan.org/mailman/listinfo/users
>>>
>>
>>
>> _______________________________________________
>> Users mailing list
>> <a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>
>> https://lists.strongswan.org/mailman/listinfo/users
>
>-----BEGIN PGP SIGNATURE-----
>Version: GnuPG v2
>
>iQIcBAEBCAAGBQJVTUUkAAoJEDg5KY9j7GZYKrkQAKABtzux3tJnOjGqAYq5ybkU
>Mk+55ys+JtHwnkXowXGQY+Iv7Dy1w9zccZ5N11hRo1pnFDfhh4qHlTKmbTBKNBYu
>dIHg61NLm7ocbbpya/VIgMmvxzydFXJkd1hWUoc3H01nxs60yozGLMeLId8hZFpT
>ZjyoH16+QMWO0y6ORb8PGn8vj4+gra1mxn2q+bdEKzAiiKIYrgK8zOrNH33epXTi
>MBK9U8BsWIsEkHgHEuzKIBuGVbqOiHTaxvFuZwk8gHo/jUBZpRV+nAnZMDBCF7Xf
>bm5B7WOUnX72y+kO4FV5ZCdYlyPsS+LD+2I0uvZCsIgpB7Y6fUDhkE+lS0vvl4xX
>hv1RFeXrpGAAVP9Pk6Qi/iV38enF+kQX2ORvaeMXoARaaTheFVsJdpGkU8IVx1Ej
>/FwVYiKX9A//HiKYFhhJjIQsXVDygdDJajk16KM51sqqzGOqPzkGfbYvMDsCs+sK
>M6RZSlrMHhCqVsbGhGpp3QMY9secQeYv/9VvJZS6MWKu/cqBGE3OzzPvqmbdVbua
>Wmf6RwtInQGU6L8ud7yPs2/JbAy+aebQuftFtIrNG1R7AL+uDjQa/0qDD8On48gr
>BiEa9jLkXZfuO50fmNrwWarGBmLPav1Srvp5awWfumXmHSehR3vKz6KFpGQF/swL
>G3rKH0I1YPw3S53nlAuC
>=9PWR
>-----END PGP SIGNATURE-----
>
</pre></div><br><br><span title="neteasefooter"><span id="netease_mail_footer"><div id="netease_mail_footer"><div style="padding: 10px 5px; color: rgb(119, 119, 119); line-height: 22px; font-size: 12px; border-top-color: rgb(204, 204, 204); border-top-width: 1px; border-top-style: solid;">来自 <b style="color: rgb(204, 51, 0);">网易</b><b style="color: rgb(51, 51, 51);">手机号码邮箱</b> -- 有手机就有网易手机号码邮箱,<a id="mobile_set" style="color: rgb(51, 102, 255); text-decoration: none;" href="http://shouji.163.com" target="_blank" logid="free_sms_20120504" log="1" sys="1">了解详情></a></div></div>
</span></span></blockquote></div><br><br><span title="neteasefooter"><span id="netease_mail_footer"><div id="netease_mail_footer"><div style="border-top:#CCCCCC 1px solid;padding:10px 5px;font-size:12px;color:#777777;line-height:22px">来自 <b style="color:#CC3300">网易</b><b style="color:#333333">手机号码邮箱</b> -- 有手机就有网易手机号码邮箱,<a id="mobile_set" sys="1" log=1 logid="free_sms_20120504" href="http://shouji.163.com" target="_blank" style="color:#3366FF;text-decoration:none">立即使用></a></div></div>
</span></span>