
<div style="line-height:1.7;color:#000000;font-size:14px;font-family:Arial"><div>Hi, Neol</div><div><br></div><div>I checked route table 220, and found this rule:</div><div><br></div><div>10.2.0.0/16 via 192.168.0.2 dev eth0  proto static  src 10.1.0.1 <br></div><div><br></div><div>I think this rule only permit src address 10.1.0.1 packets to pass eth0. The other src address packets will not hit this route rule.</div><div><br></div><div>Maybe this is the root cause.</div><div><br></div><div>Best Regards!</div><div>Zhu Yanjun<br><br><br><br></div><div style="position: relative; -ms-zoom: 1;"></div><div id="divNeteaseMailCard"></div><div><br></div><pre><br>At 2015-05-09 07:22:12, "Noel Kuntze" <noel@familie-kuntze.de> wrote:

>

>-----BEGIN PGP SIGNED MESSAGE-----

>Hash: SHA256

>

>Hello Zhuyj,

>

>Please check the routing in your network. The answer packets from the host you are

>trying to ping need to reach back the client. See [1] for information

>

>[1] https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling#Hosts-on-the-LAN

>

>Mit freundlichen Grüßen/Kind Regards,

>Noel Kuntze

>

>GPG Key ID: 0x63EC6658

>Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658

>

>Am 08.05.2015 um 12:18 schrieb zhuyj:

>> On moon:

>>

>> I found the icmp does not pass vpn tunnel instead these icmp packets pass eth1 directly.

>> I created a vpn tunnel through eth1.

>>

>> tcpdump -ni eth1 icmp

>> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

>> listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes

>> 18:13:50.095301 IP 10.1.0.10 > 10.2.0.1: ICMP echo request, id 1757, seq 37, length 64

>> 18:13:50.095465 IP 10.2.0.1 > 10.1.0.10: ICMP echo reply, id 1757, seq 37, length 64

>> 18:13:51.103324 IP 10.1.0.10 > 10.2.0.1: ICMP echo request, id 1757, seq 38, length 64

>> 18:13:51.103478 IP 10.2.0.1 > 10.1.0.10: ICMP echo reply, id 1757, seq 38, length 64

>>

>> Does anyone has idea?

>>

>> Any reply is appreciated.

>>

>> Zhu Yanjun

>>

>> On 05/08/2015 06:14 PM, yzhu1 wrote:

>>> On moon:

>>> Iptables rules:

>>>

>>> # Generated by iptables-save v1.4.21 on Fri May  8 18:10:58 2015

>>> *filter

>>> :INPUT ACCEPT [4274:596163]

>>> :FORWARD ACCEPT [0:0]

>>> :OUTPUT ACCEPT [190:20743]

>>> -A INPUT -s 10.2.0.0/16 -d 10.4.0.1/32 -i eth1 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT

>>> -A FORWARD -s 10.2.0.0/16 -d 10.4.0.1/32 -i eth1 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT

>>> -A FORWARD -s 10.4.0.1/32 -d 10.2.0.0/16 -o eth1 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT

>>> -A OUTPUT -s 10.4.0.1/32 -d 10.2.0.0/16 -o eth1 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT

>>> COMMIT

>>> # Completed on Fri May  8 18:10:58 2015

>>>

>>>  ip -4 r s table all

>>> 10.2.0.0/16 via 192.168.0.2 dev eth1  table 220  proto static  src 10.4.0.1

>>> default via 128.224.162.1 dev eth0  proto static

>>> 10.1.0.0/16 dev eth2  proto kernel  scope link  src 10.1.0.1

>>> 128.224.162.0/23 dev eth0  proto kernel  scope link  src 128.224.163.143  metric 1

>>> 192.168.0.0/24 dev eth1  proto kernel  scope link  src 192.168.0.1

>>> broadcast 10.1.0.0 dev eth2  table local  proto kernel  scope link  src 10.1.0.1

>>> local 10.1.0.1 dev eth2  table local  proto kernel  scope host src 10.1.0.1

>>> broadcast 10.1.255.255 dev eth2  table local  proto kernel  scope link  src 10.1.0.1

>>> local 10.4.0.1 dev eth1  table local  proto kernel  scope host src 10.4.0.1

>>> broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link src 127.0.0.1

>>> local 127.0.0.0/8 dev lo  table local  proto kernel  scope host src 127.0.0.1

>>> local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1

>>> broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1

>>> broadcast 128.224.162.0 dev eth0  table local  proto kernel  scope link  src 128.224.163.143

>>> local 128.224.163.143 dev eth0  table local  proto kernel  scope host  src 128.224.163.143

>>> broadcast 128.224.163.255 dev eth0  table local  proto kernel scope link  src 128.224.163.143

>>> broadcast 192.168.0.0 dev eth1  table local  proto kernel  scope link  src 192.168.0.1

>>> local 192.168.0.1 dev eth1  table local  proto kernel  scope host src 192.168.0.1

>>> broadcast 192.168.0.255 dev eth1  table local  proto kernel  scope link  src 192.168.0.1

>>>

>>> cat /proc/sys/net/ipv4/ip_forward

>>> 1

>>>

>>>

>>> On 05/08/2015 06:01 PM, zhuyj wrote:

>>>> Hi, all

>>>>

>>>> I configured 4 vmare hosts. The hosts are ubuntu14.04. The gateway moon does not forward icmp packets.

>>>>

>>>> The network topology is as below.

>>>>

>>>> 10.1.0.10 <---->10.1.0.1 (moon) 192.168.0.1<----->192.168.0.2 (sun) 10.2.0.1<---->10.2.0.10

>>>>

>>>> strongswan is 5.3.0.

>>>>

>>>> On moon

>>>> /usr/local/etc/ipsec.conf is as below:

>>>>

>>>> config setup

>>>>

>>>> conn %default

>>>>     ikelifetime=60m

>>>>     keylife=20m

>>>>     rekeymargin=3m

>>>>     keyingtries=1

>>>>     authby=secret

>>>>     keyexchange=ikev2

>>>>     mobike=no

>>>>

>>>> conn net-net

>>>>     left=%defaultroute

>>>>     leftsourceip=%config

>>>>     leftfirewall=yes

>>>>     leftid=@moon.strongswan.org

>>>>     right=192.168.0.2

>>>>     rightsubnet=10.2.0.0/16

>>>>     rightid=@sun.strongswan.org

>>>>     auto=add

>>>> /usr/local/etc/ipsec.secrets is as below:

>>>>

>>>> : PSK 0sFpZAZqEN6Ti9sqt4ZP5EWcqx

>>>>

>>>> On Sun

>>>> /usr/local/etc/ipsec.conf is as below:

>>>> config setup

>>>>

>>>> conn %default

>>>>     ikelifetime=60m

>>>>     keylife=20m

>>>>     rekeymargin=3m

>>>>     keyingtries=1

>>>>     authby=secret

>>>>     keyexchange=ikev2

>>>>     mobike=no

>>>>

>>>> conn net-net

>>>>     left=192.168.0.2

>>>>     leftsubnet=10.2.0.0/16

>>>>     leftid=@sun.strongswan.org

>>>>     leftfirewall=yes

>>>>     right=192.168.0.1

>>>>     rightid=@moon.strongswan.org

>>>>     auto=add

>>>>     rightsourceip=10.4.0.0/24

>>>>

>>>> /usr/local/etc/ipsec.secrets is as below:

>>>>

>>>> : PSK 0sFpZAZqEN6Ti9sqt4ZP5EWcqx

>>>>

>>>> Others remain unchanged.

>>>>

>>>> I ran "ping 10.2.0.10" on clinet 10.1.0.10. But I can not get any reply from 10.2.0.10.

>>>>

>>>> I can find the icmp packets into moon. But moon will not forward these icmp packets.

>>>>

>>>> After an iptables rule (iptables -t nat -A POSTROUTING -s 10.4.0.0/16 -j MASQUERADE) is run in

>>>> sun, I can ping 10.2.0.10 on moon.

>>>>

>>>> But I can not ping 10.2.0.1 on client 10.1.0.10.

>>>>

>>>> That is, moon can reach client 10.2.0.10.But client 10.10.10 can not reach sun.

>>>>

>>>> 10.1.0.10 <---->10.1.0.1 (moon) 192.168.0.1<----->192.168.0.2 (sun) 10.2.0.1<---->10.2.0.10

>>>> icmp------------------------------------------------------------------>here

>>>> icmp----------->

>>>>

>>>> In a word, moon can not forward icmp packets.

>>>>

>>>> Does any one have the similar experience?

>>>>

>>>> Any reply is appreciated.

>>>>

>>>> Thanks a lot.

>>>> Zhu Yanjun

>>>>

>>>>

>>>> _______________________________________________

>>>> Users mailing list

>>>> Users@lists.strongswan.org

>>>> https://lists.strongswan.org/mailman/listinfo/users

>>>>

>>>

>>> _______________________________________________

>>> Users mailing list

>>> Users@lists.strongswan.org

>>> https://lists.strongswan.org/mailman/listinfo/users

>>>

>>

>>

>> _______________________________________________

>> Users mailing list

>> Users@lists.strongswan.org

>> https://lists.strongswan.org/mailman/listinfo/users

>

>-----BEGIN PGP SIGNATURE-----

>Version: GnuPG v2

>

>iQIcBAEBCAAGBQJVTUUkAAoJEDg5KY9j7GZYKrkQAKABtzux3tJnOjGqAYq5ybkU

>Mk+55ys+JtHwnkXowXGQY+Iv7Dy1w9zccZ5N11hRo1pnFDfhh4qHlTKmbTBKNBYu

>dIHg61NLm7ocbbpya/VIgMmvxzydFXJkd1hWUoc3H01nxs60yozGLMeLId8hZFpT

>ZjyoH16+QMWO0y6ORb8PGn8vj4+gra1mxn2q+bdEKzAiiKIYrgK8zOrNH33epXTi

>MBK9U8BsWIsEkHgHEuzKIBuGVbqOiHTaxvFuZwk8gHo/jUBZpRV+nAnZMDBCF7Xf

>bm5B7WOUnX72y+kO4FV5ZCdYlyPsS+LD+2I0uvZCsIgpB7Y6fUDhkE+lS0vvl4xX

>hv1RFeXrpGAAVP9Pk6Qi/iV38enF+kQX2ORvaeMXoARaaTheFVsJdpGkU8IVx1Ej

>/FwVYiKX9A//HiKYFhhJjIQsXVDygdDJajk16KM51sqqzGOqPzkGfbYvMDsCs+sK

>M6RZSlrMHhCqVsbGhGpp3QMY9secQeYv/9VvJZS6MWKu/cqBGE3OzzPvqmbdVbua

>Wmf6RwtInQGU6L8ud7yPs2/JbAy+aebQuftFtIrNG1R7AL+uDjQa/0qDD8On48gr

>BiEa9jLkXZfuO50fmNrwWarGBmLPav1Srvp5awWfumXmHSehR3vKz6KFpGQF/swL

>G3rKH0I1YPw3S53nlAuC

>=9PWR

>-----END PGP SIGNATURE-----

>

</pre></div><br><br><span title="neteasefooter"><span id="netease_mail_footer"><div id="netease_mail_footer"><div style="border-top:#CCCCCC 1px solid;padding:10px 5px;font-size:12px;color:#777777;line-height:22px">来自 <b style="color:#CC3300">网易</b><b style="color:#333333">手机号码邮箱</b> -- 有手机就有网易手机号码邮箱，<a id="mobile_set" sys="1" log=1 logid="free_sms_20120504" href="http://shouji.163.com" target="_blank" style="color:#3366FF;text-decoration:none">了解详情></a></div></div>

</span></span>