<div dir="ltr">Hi,<div><br></div><div>I have what seems like a really basic problem with an IPSec tunnel using VTI's to AWS where I can not ping the remote side of the directly connected tunnel interface. </div><div><br></div><div>The host is running Ubuntu 14.04, the strongswan version is 5.1.2, and the kernel is 3.19.0-25-generic.<br></div><div><div><br></div><div><div># ip route | grep 169.254.253.4</div><div><a href="http://169.254.253.4/30">169.254.253.4/30</a> dev vti2  proto kernel  scope link  src 169.254.253.6</div></div><div><br></div><div><div># ip tunnel show vti2</div><div>vti2: ip/ip  remote x.x.x.x  local y.y.y.y  ttl inherit  nopmtudisc key 32</div><div><br></div><div><div># cat /etc/ipsec.conf | grep 32</div><div>        mark=32</div></div><div><br></div><div># ip addr show vti2</div><div>5: vti2@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1436 qdisc noqueue state UNKNOWN group default</div><div>    link/ipip y.y.y.y peer x.x.x.x</div><div>    inet <a href="http://169.254.253.6/30">169.254.253.6/30</a> scope global vti2</div><div>       valid_lft forever preferred_lft forever</div></div><div><br></div><div># ping 169.254.253.5</div><div>PING 169.254.253.5 (169.254.253.5) 56(84) bytes of data.</div></div><div>...</div><div><br></div><div><br></div><div>The IPSec tunnel is established and the counters increment:</div><div><br></div><div><div># ipsec statusall USW1LP-tunnel-1 | grep bytes</div><div>USW1LP-tunnel-1{2}:  AES_CBC_128/HMAC_SHA1_96, 17808 bytes_i (212 pkts, 0s ago), 17808 bytes_o (212 pkts, 0s ago), rekeying in 42 minutes</div><div><br></div><div># ipsec statusall USW1LP-tunnel-1 | grep bytes</div><div>USW1LP-tunnel-1{2}:  AES_CBC_128/HMAC_SHA1_96, 18144 bytes_i (216 pkts, 0s ago), 18144 bytes_o (216 pkts, 0s ago), rekeying in 42 minutes</div></div><div><br></div><div>tcpdump shows the request leaving and the reply returning:</div><div><br></div><div><div># tcpdump -i vti2</div><div>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode</div><div>listening on vti2, link-type RAW (Raw IP), capture size 65535 bytes</div><div>01:17:36.424350 IP 169.254.253.6 > <a href="http://169.254.253.5">169.254.253.5</a>: ICMP echo request, id 16379, seq 345, length 64</div><div>01:17:36.506958 IP 169.254.253.5 > <a href="http://169.254.253.6">169.254.253.6</a>: ICMP echo reply, id 16379, seq 345, length 64</div><div>01:17:37.424365 IP 169.254.253.6 > <a href="http://169.254.253.5">169.254.253.5</a>: ICMP echo request, id 16379, seq 346, length 64</div><div>01:17:37.506964 IP 169.254.253.5 > <a href="http://169.254.253.6">169.254.253.6</a>: ICMP echo reply, id 16379, seq 346, length 64</div></div><div><br></div><div>There are no iptables rules.</div><div><br></div><div>This is working on another install with the same configuration however with a 3.16.0-30-generic kernel.  I havent included the ipsec.conf configuration as it seems to be more of a basic linux networking issue.  Am I doing something obviously wrong or missing something?</div><div><br></div><div>Thanks.</div><div><br></div><div><br></div></div>