
Hi does this mean if I flush my iptables and routing tables strongswan willroute and write firewall.and how can I tell that?<span></span><br><br>On Tuesday, 16 February 2016, Noel Kuntze <<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a>> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid">> hello i managed to install strongswan and managed to establish a connection to remote partner but child subnets are not pinging each other what could be the problem?<br>

<br>

> Security Associations (1 up, 0 connecting):<br>

>          MTN[10]: ESTABLISHED 2 minutes ago, 185.3.95.94[185.3.95.94]...41.223.117.190[41.223.117.190]<br>

>          MTN[10]: IKEv1 SPIs: 28e33873f54aaaff_i* 6d3ab411e92b6c05_r, pre-shared key reauthentication in 7 hours<br>

>          MTN[10]: IKE proposal: 3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>

>          MTN[10]: Tasks queued: QUICK_MODE<br>

>          MTN[10]: Tasks active: MODE_CONFIG<br>

The tunnel is not actually up. Only the IKE_SA is. The IKE_SA does not transport traffic, CHILD_SAs do that.<br>

<br>

> [root@li788-94 strongswan]# iptables -nvL<br>

Don't show `iptables -L` or something. Always show `iptables-save`. `iptables -L` only<br>

shows the *filter table. `iptables-save` shows all tables. It's also more readable.<br>

<br>

><br>

> conn %default<br>

>         ikelifetime=28800s<br>

>         keylife=200s<br>

>         rekeymargin=300<br>

>         keyingtries=1<br>

>         keyexchange=ikev1<br>

>         ike=aes128-sha1-modp1024-diffie-hellman group 2<br>

><br>

>         esp=3des-sha1<br>

>         ike=3des-sha1-modp1024<br>

>         mobike=yes<br>

>         leftikeport=4500<br>

>         rightikeport=4500<br>

>         authby=secret<br>

>  conn MTN<br>

>   type=tunnel<br>

>     left=185.3.95.94<br>

>     # left=%defaultroute<br>

>     # leftcert=client.cert<br>

>     #     authby=secret<br>

>     leftsubnet=<a href="http://192.168.200.172/17" target="_blank">192.168.200.172/17</a><br>

>     leftsourceip=%config<br>

>      leftfirewall=yes<br>

>      right=41.223.117.190<br>

>      #rightid=41.223.117.190<br>

>     rightsubnet=<a href="http://172.25.48.36/32,172.25.48.43/32" target="_blank">172.25.48.36/32,172.25.48.43/32</a><br>

>      #      rightsubnet=<a href="http://172.25.48.36/16" target="_blank">172.25.48.36/16</a><br>

>      #  rightsubnet=172.25.48.36<br>

>    auto=start<br>

>     rightsubnet=<a href="http://172.25.48.36/32,172.25.48.43/32" target="_blank">172.25.48.36/32,172.25.48.43/32</a><br>

IKEv1 does not support several subnets in a single CHILD_SA. You need to specify<br>

a CHILD_SA per subnet pair.<br>

<br>

>         ike=aes128-sha1-modp1024-diffie-hellman group 2<br>

That line is formatted wrong. "-diffie-hellman group 2" is invalid.<br>

Read the man page.<br>

<br>

> conn %default<br>

>         ike=aes128-sha1-modp1024-diffie-hellman group 2<br>

> [...]<br>

>         ike=3des-sha1-modp1024<br>

Don't declare options multiple times in a conn section.<br>

<br>

>  conn MTN<br>

>   type=tunnel<br>

>     left=185.3.95.94<br>

>     # left=%defaultroute<br>

Indent your config correctly.<br>

<br>

> ip route add 172.25.48.43 via 41.223.117.190 dev eth0 proto static src 192.168.200.177<br>

> ip route add 172.25.48.36 via 41.223.117.190 dev eth0 proto static src 192.168.200.177<br>

><br>

> 172.25.48.36 via 41.223.117.190 dev eth0 proto static src 192.168.200.177<br>

><br>

> ip route add 41.223.117.190 dev eth0<br>

><br>

> ip route add 41.223.117.190 via 185.3.95.1 dev eth0:1<br>

><br>

> ip route add <a href="http://41.223.117.190/32" target="_blank">41.223.117.190/32</a> via 185.3.95.1 dev eth0<br>

strongSwan does the routing for you. Don't install routes yourself.<br>

<br>

> tup: Starting Openswan IPsec U2.6.32/K4.4.0-x86_64-linode63...<br>

> Feb 14 16:04:24 li788-94 ipsec_setup: Using NETKEY(XFRM) stack<br>

What's up with that? strongSwan is not openswan.<br>

<br>

> Feb 16 09:47:05 li788-94 charon: 03[IKE] IKE_SA MTN[11] established between 185.3.95.94[185.3.95.94]...41.223.117.190[41.223.117.190]<br>

> Feb 16 09:47:05 li788-94 charon: 03[IKE] scheduling reauthentication in 28221s<br>

> Feb 16 09:47:05 li788-94 charon: 03[IKE] maximum IKE_SA lifetime 28521s<br>

> Feb 16 09:47:05 li788-94 charon: 03[ENC] generating TRANSACTION request 689769898 [ HASH CPRQ(ADDR DNS) ]<br>

> Feb 16 09:47:05 li788-94 charon: 03[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (76 bytes)<br>

> Feb 16 09:47:09 li788-94 charon: 15[IKE] sending retransmit 1 of request message ID 689769898, seq 4<br>

> Feb 16 09:47:09 li788-94 charon: 15[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (76 bytes)<br>

> Feb 16 09:47:16 li788-94 charon: 16[IKE] sending retransmit 2 of request message ID 689769898, seq 4<br>

> Feb 16 09:47:16 li788-94 charon: 16[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (76 bytes)<br>

> Feb 16 09:47:29 li788-94 charon: 04[IKE] sending retransmit 3 of request message ID 689769898, seq 4<br>

> Feb 16 09:47:29 li788-94 charon: 04[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (76 bytes)<br>

> Feb 16 09:47:53 li788-94 charon: 01[IKE] sending retransmit 4 of request message ID 689769898, seq 4<br>

> Feb 16 09:47:53 li788-94 charon: 01[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (76 bytes)<br>

> Feb 16 09:48:35 li788-94 charon: 11[IKE] sending retransmit 5 of request message ID 689769898, seq 4<br>

> Feb 16 09:48:35 li788-94 charon: 11[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (76 bytes)<br>

> Feb 16 09:49:28 li788-94 charon: 03[NET] received packet: from 41.223.117.190[4500] to 185.3.95.94[4500] (164 bytes)<br>

> Feb 16 09:49:28 li788-94 charon: 03[ENC] parsed QUICK_MODE request 959964764 [ HASH SA No ID ID ]<br>

> Feb 16 09:49:28 li788-94 charon: 03[IKE] received 28800s lifetime, configured 200s<br>

> Feb 16 09:49:28 li788-94 charon: 03[IKE] received 1843200000 lifebytes, configured 0<br>

> Feb 16 09:49:28 li788-94 charon: 03[ENC] generating QUICK_MODE response 959964764 [ HASH SA No ID ID ]<br>

> Feb 16 09:49:28 li788-94 charon: 03[NET] sending packet: from 185.3.95.94[4500] to 41.223.117.190[4500] (180 bytes)<br>

> Feb 16 09:49:28 li788-94 charon: 02[NET] received packet: from 41.223.117.190[4500] to 185.3.95.94[4500] (52 bytes)<br>

> Feb 16 09:49:28 li788-94 charon: 02[ENC] parsed QUICK_MODE request 959964764 [ HASH ]<br>

> Feb 16 09:49:28 li788-94 charon: 02[IKE] CHILD_SA MTN{1} established with SPIs cead478f_i 1c001196_o and TS <a href="http://192.168.200.177/32" target="_blank">192.168.200.177/32</a> === <a href="http://172.25.48.43/32" target="_blank">172.25.48.43/32</a><br>

> Feb 16 09:49:28 li788-94 vpn: + 41.223.117.190 <a href="http://172.25.48.43/32" target="_blank">172.25.48.43/32</a> == 41.223.117.190 -- 185.3.95.94 == <a href="http://192.168.200.177/32" target="_blank">192.168.200.177/32</a><br>

> Feb 16 09:49:50 li788-94 charon: 13[IKE] giving up after 5 retransmits<br>

Go and find out why there are retransmits. Look at the logs of the other side.<br>

I think it's possible that there's some issue with the other side.<br>

<br>

> iptables -I OUTPUT -o eth0 -p all  -j ACCEPT<br>

Filtering output is pretty useless in most cases, and so is specifying -p all.<br>

Specifying -p all does not have any effect except makes you take more time to type the command and take up some bytes.<br>

<br>

--<br>

<br>

Mit freundlichen Grüßen/Kind Regards,<br>

Noel Kuntze<br>

<br>

GPG Key ID: 0x63EC6658<br>

Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>

<br>

<br>

</blockquote>