<div dir="ltr">Hi,<div>I'm trying to configure strongswan on my host and I have some issue for routing client requests. </div><div>Indeed, currently, the client can only reach the web server installed on the host where strongswan is installed.</div><div>Even the host which are part of the subset cannot be reached...</div><div><br></div><div>Details of my configuration:</div><div><br></div><div>/etc/ipsec.conf</div><div><div>conn IOS</div><div>        keyexchange=ikev2</div><div>        leftid="hostname"</div><div>        leftcert=vpnHostCert.pem</div><div>        leftsendcert=always</div><div>        leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>        right=%any</div><div>        rightauth=eap-tls</div><div>        rightid=user@domain</div><div>        rightsourceip=192.168.0.230</div><div>        rightdns=192.168.0.1</div><div>        eap_identity=%any</div><div>        auto=add </div></div><div><br></div><div><span style="font-family:Helvetica;font-size:12px">/etc/sysctl.conf</span><br></div><div>net.ipv4.ip_forward=1<span style="font-family:Helvetica;font-size:12px"><br></span></div><div>net.ipv6.conf.all.forwarding=1<br></div><div><br></div><div>I ran also the following commands:</div><div><p style="margin:0px;font-size:12px;line-height:normal;font-family:Helvetica"># iptables -t nat -A POSTROUTING -s <a href="http://192.168.0.0/24">192.168.0.0/24</a> -o bond0 -m policy --dir out --pol ipsec -j ACCEPT</p><p style="margin:0px;font-size:12px;line-height:normal;font-family:Helvetica"># iptables -t nat -A POSTROUTING -s <a href="http://192.168.0.0/24">192.168.0.0/24</a> -o bond0 -j MASQUERADE</p></div><div><br></div><div># ipsec statusall</div><div> Status of IKE charon daemon (strongSwan 5.4.0, Linux 3.13.0-88-generic, x86_64):</div><div>  uptime: 2 minutes, since Jun 21 10:28:24 2016</div><div>  malloc: sbrk 2568192, mmap 0, used 461408, free 2106784</div><div>  worker threads: 7 of 16 idle, 5/0/4/0 working, job queue: 0/0/0/0, scheduled: 5</div><div>  loaded plugins: charon aes gmp des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf xcbc cmac hmac attr kernel-libipsec kernel-netlink resolve socket-default stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap tnc-tnccs dhcp certexpire radattr addrblock unity</div><div>Virtual IP pools (size/online/offline):</div><div>  <a href="http://192.168.0.230">192.168.0.230</a>: 1/1/0</div><div>Listening IP addresses:</div><div>  192.168.0.50</div><div>Connections:</div><div>         IOS:  %any...%any  IKEv2</div><div>         IOS:   local:  [hostname] uses public key authentication</div><div>         IOS:    cert:  "C=FR, O=Name, CN=hostname"</div><div>         IOS:   remote: [user@domain] uses EAP_TLS authentication with EAP identity '%any'</div><div>         IOS:   child:  <a href="http://0.0.0.0/0">0.0.0.0/0</a> === dynamic TUNNEL</div><div>Security Associations (1 up, 0 connecting):</div><div>         IOS[1]: ESTABLISHED 113 seconds ago, 192.168.0.50[host]...88.128.80.184[user@domain]</div><div>         IOS[1]: IKEv2 SPIs: 62edfac3b44de97f_i b04bb790a7864b3a_r*, public key reauthentication in 2 hours</div><div>         IOS[1]: IKE proposal: AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048</div><div>         IOS{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: 5b44f56f_i 0f6ed269_o</div><div>         IOS{1}:  AES_CBC_256/HMAC_SHA2_256_128, 8101 bytes_i (89 pkts, 17s ago), 136106 bytes_o (155 pkts, 4s ago), rekeying in 45 minutes</div><div>         IOS{1}:   <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://192.168.0.230/32">192.168.0.230/32</a>      </div><div><br></div><div>Thanks for your help</div><div>BR</div><div><p style="margin:0px;font-size:12px;line-height:normal;font-family:Helvetica"><br></p></div><div><br></div><div><br></div></div>