<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">To anyone who can offer some assistance:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">I have a pfsense appliance establishing an IPSEC tunnel to an Amazon AWS EC2 Ubuntu box running StrongSwan 5.1.2. The goal is for LAN users of the pfsense router appliance to have all their internet traffic tunneled to the AWS EC2 box and then out to the internet. A system on the LAN of the pfsense box can ping the IP of the Amazon EC2 box. The Amazon EC2 box can also ping a system on the pfsense LAN. When a system on the pfsense LAN tries to send traffic to the internet, I see the traffic show up in a running tcpdump on the Amazon EC2 box, but the traffic seems to be getting dropped. Watching logs from iptables, i can see that the traffic from the IPSEC tunnel arrives at the PREROUTING table with its source address set to the pfsense LAN. I've tried adding a number of iptables rules with little success. Any assistance is greatly appreciated. Below is some configuration data:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">pfsense:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">LAN subnet: <a href="http://192.168.150.0/24">192.168.150.0/24</a></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">pfsense ipsec configuration:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">key exchange version: v2</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">internet protocol: ipv4</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">interface: WAN</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">remote gateway: <public IP of Amazon EC2 box></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">authentication method: mutual psk</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">my identifer: distinguished name: <DN></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">peer identifier: distinguished name: <DN></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">pre-shared key: *********************</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">phase 1:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">encryption algorithm: aes 256</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">hash algorithm: sha 256</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">dh key group: 14</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">lifetime: 28800 seconds</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">advanced options:</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">NAT traversal: auto</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">35x phase2 entries, one for each subnet to be tunneled out to the internet: </div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">protocol: esp</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">pfsense firewall rules are set to allow most traffic (it's behind an IDS and firewall -- no blocked packets observed)</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif">strongswan ipsec configuration:</div><div class="gmail_default"><div class="gmail_default"><font face="arial, helvetica, sans-serif">config setup</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        # strictcrlpolicy=yes</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        # uniqueids = no</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        cachecrls=yes</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        uniqueids=yes</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        charondebug="ike 0, knl 0, cfg 0, net 0, enc 0"</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">conn %default</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        ikelifetime=60m</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        keylife=20m</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        rekeymargin=20m</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        keyingtries=1</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        keyexchange=ikev2</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        authby=secret</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        esp=aes256-sha256</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">conn <DN></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        left=<pfsense public IP></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        leftid=<DN></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        leftfirewall=yes</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        leftsubnet=<a href="http://192.168.150.0/24">192.168.150.0/24</a></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        right=<AWS EC2 host IP></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        rightfirewall=yes</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        rightid=<DNS></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">        auto=add</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif"><br></font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif">AWS EC2 iptables</font></div><div class="gmail_default"><font face="arial, helvetica, sans-serif"><div class="gmail_default"># Generated by iptables-save v1.4.21 on Wed Aug  5 13:43:07 2015</div><div class="gmail_default">*nat</div><div class="gmail_default">:PREROUTING ACCEPT [382:30387]</div><div class="gmail_default">:INPUT ACCEPT [1:468]</div><div class="gmail_default">:OUTPUT ACCEPT [4:248]</div><div class="gmail_default">:POSTROUTING ACCEPT [15:842]</div><div class="gmail_default">-N LOGGING</div><div class="gmail_default">-N IPSEC_UNWRAPPED</div><div class="gmail_default">-A PREROUTING -s <a href="http://192.168.150.0/24">192.168.150.0/24</a> -j IPSEC_UNWRAPPED<br></div><div class="gmail_default"><br></div><div class="gmail_default">-I INPUT 1 -j LOG --log-prefix "packet enter NAT-INPUT "</div><div class="gmail_default">-I OUTPUT 1 -j LOG --log-prefix "packet enter NAT-OUTPUT "</div><div class="gmail_default"><br></div><div class="gmail_default">-I POSTROUTING 1 -j LOG --log-prefix "packet enter POSTROUTING "</div><div class="gmail_default">-A IPSEC_UNWRAPPED -j LOG --log-prefix "enter IPSEC_UNWRAPPED "<br></div><div class="gmail_default">-A IPSEC_UNWRAPPED -s <a href="http://192.168.150.0/24">192.168.150.0/24</a> -j ACCEPT</div><div class="gmail_default"><br></div><div class="gmail_default">COMMIT<br></div><div class="gmail_default"># Completed on Wed Aug  5 13:43:07 2015</div><div class="gmail_default"># Generated by iptables-save v1.4.21 on Wed Aug  5 13:43:07 2015</div><div class="gmail_default">*filter</div><div class="gmail_default">:INPUT ACCEPT [324:39841]</div><div class="gmail_default">:FORWARD ACCEPT [8:418]</div><div class="gmail_default">:OUTPUT ACCEPT [301:64284]</div><div class="gmail_default">:LOGGING - [0:0]</div><div class="gmail_default">-A INPUT -s <pfsense public ip>/32 -d <amazon public ip>/32 -p udp --dport 4500 -j ACCEPT</div><div class="gmail_default">-A INPUT -s<pfsense public ip> -d <amazon public ip>/32 -p tcp --dport 22 -j ACCEPT</div><div class="gmail_default">-A INPUT -d <amazon public ip> -p icmp -j ACCEPT</div><div class="gmail_default">-A INPUT -j LOGGING</div><div class="gmail_default">-A FORWARD -j LOG --log-prefix "enter forward "</div><div class="gmail_default">-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT</div><div class="gmail_default">-A FORWARD -j LOGGING</div><div class="gmail_default">-A OUTPUT -s <a href="http://172.31.17.50/32">172.31.17.50/32</a> -d <pfsense public ip>/32 -p udp --sport 4500 -j ACCEPT</div><div class="gmail_default">-A OUTPUT -s <a href="http://172.31.17.50/32">172.31.17.50/32</a> -d <pfsense public ip>/32 -p tcp --sport 22 -j ACCEPT</div><div class="gmail_default">-A OUTPUT -p icmp -d 8.8.8.8 -j LOG --log-prefix "icmp to google "</div><div><br></div><div><br></div></font></div><div style="font-family:arial,helvetica,sans-serif"><br></div></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif"><br></div>
</div>