<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Dec 19, 2015 at 5:53 AM, Jan Palus <span dir="ltr"><<a href="mailto:jan.palus@gmail.com" target="_blank">jan.palus@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><br>
After further experiments (without TRACE yet though) the issue seems to<br>
always occur when rightsubnet=<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a>. With same configuration in place:<br>
<br>
charon.install_routes=no<br>
<br>
leftupdown script populating routing table and iptables chains:<br>
<br>
iptables -t nat -I POSTROUTING -d A,B -j SNAT --to-source $PLUTO_MY_SOURCEIP<br>
iptables -t nat -I POSTROUTING -o wan -m policy --dir out --pol ipsec -j ACCEPT<br>
ip route add A dev wan proto static scope global src $PLUTO_MY_SOURCEIP table 220<br>
ip route add B dev wan proto static scope global src $PLUTO_MY_SOURCEIP table 220<br>
<br>
switching  between rightsubnet=<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> and rightsubnet=A either results in<br>
hanging connections (occasionally) or works fine. Connection is always<br>
tested between C and A.<br>
<div class=""><div class="h5">_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" rel="noreferrer" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a></div></div></blockquote><div><br></div>Jan:<div><br></div><div>I'm working on almost the same setup as you in OpenWRT 15 and thought I'd post some quick notes I've observed, that may or may not help.  I'm working on my config this weekend and can post the final results once I'm done, although in my case, the wireless clients send all traffic through OpenWRT via ipsec to a remote gateway.</div><div><br></div><div>Anyway, with OpenWRT 15, there is a couple of issues I've noticed with the strongswan packages.  The one that works for me is "strongswan-default", although "strongswan-full" may work.  "strongswan" alone gives me some racoon errors and doesn't install various ipsec related packages.</div><div><br></div><div>In addition, there is a dependancy issue with 15 and the ip-full package... it doesn't actually get installed.  You can test this by typing "ip xfrm policy".  If it gives an error, you actually have the "ip" package and not "ip-full".  To fix, type</div><div><br></div><div># opkg remove --force-depends ip</div><div># opkg install --force-overwrite ip-full</div><div><br></div><div>Lastly, I had issues with http connections "hanging", which turned out to be MTU related.  For example <a href="http://www.speedtest.net">www.speedtest.net</a> wouldn't even load.  I had some mangle rules to fix this, but had them in the wrong table. (Mine needed to be in mangle/FORWARD table).  Anyway, to confirm MTU is not an issue, on the remote GW, you may want to try:</div><div><br></div><div># tcpdump -qnn -e icmp[icmptype] == 3 && icmp[icmpcode] == 4</div><div><br></div><div>and see if you're getting any fragment messages.  If so, your mangle rule may be in the wrong place for your setup.</div><div><br></div><div>-- Charles</div><div><br></div><div> </div></div><br></div></div>