<div dir="ltr">Hi Mirko,<div><br></div><div>Thanks for the reply.</div><div>Please see my reply inline [Sarat]</div><div><br></div><div>Regards,</div><div>Sarat</div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 25, 2016 at 6:39 PM, Mirko Parthey <span dir="ltr"><<a href="mailto:mirko.parthey@web.de" target="_blank">mirko.parthey@web.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-">On Mon, Jul 25, 2016 at 03:25:24PM +0530, Sarat Vajrapu wrote:<br>
> Hi Mirko,<br>
><br>
> Thanks for the reply.<br>
> I created loopback interface on each gateway and below is the required info:<br>
</span>> [...]<br>
<br>
Hi Sarat,<br>
<br>
Thank you for posting your configuration.<br>
<br>
Please take a look at this example:<br>
  <a href="https://www.strongswan.org/testing/testresults/ikev2/net2net-psk/" rel="noreferrer" target="_blank">https://www.strongswan.org/testing/testresults/ikev2/net2net-psk/</a><br>
It could be a starting point for you to arrive at a working setup.<br>
<br>
But it may not work in your environment because you have an unusual<br>
network configuration, which we need to understand first.<br>
That's why I would like to ask you a few more questions.<br>
<br>
Where would the machine with IP address 10.1.1.1 be located in your diagram?<br></blockquote><div>[Sarat]: This is not a public deployed network. I am trying to test the behavior in my local</div><div>lab setup. 10.1.1.1 acts as a middle router.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
I don't see any public IP addresses on your gateways, how do they connect<br>
to the internet?<br></blockquote><div>[Sarat]: This is only a lab setup.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
When a host on LAN1 communicates with the public internet in cleartext,<br>
is this traffic guaranteed to go through Gateway A?<br></blockquote><div>[Sarat]: Ideally, GW_A would have the public IP address and yes all the traffic </div><div>from LAN1 would go through Gateway A only.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
How about communication from LAN1 to LAN2, is it guaranteed to go through<br>
Gateway A?<br></blockquote><div>[Sarat]: Yes</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
Do these kinds of traffic enter and leave Gateway A through the same<br>
interface, br_if?</blockquote><div>[Sarat]: Yes </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="gmail-"><br>
> LAN<> can have many subnets.<br>
</span>Are there any routers between LAN1 and Gateway A,<br>
or between LAN2 and Gateway B?<br>
Can you provide examples of the IP address ranges used in LAN1 and LAN2?<br></blockquote><div>[Sarat]: In my case, I really don't want to care about LAN IP addresses. I want all</div><div>traffic going through GW_x to be encrypted/decrypted.</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Please provide the output of:<br>
# ip address show<br>
# ip route list<br>
for gateways A and B and for an example host each on LAN1 and LAN2.<br></blockquote><div><br></div><div>[Sarat]:</div><div>GW_A:~# ip route list</div><div>default via 10.1.1.1 dev br_if </div><div>2.2.2.2 via 10.1.1.218 dev br_if  proto static </div><div><a href="http://10.1.1.0/24">10.1.1.0/24</a> dev br_if  proto kernel  scope link  src 10.1.1.216 </div><div>10.1.1.218 via 10.1.1.218 dev br_if  proto static  src 10.1.1.216 </div><div><br></div><div><div>GW_B:~# ip route list</div><div>default via 10.1.1.1 dev br_if </div><div>1.1.1.1 via 10.1.1.216 dev br_if  proto static </div><div><a href="http://10.1.1.0/24">10.1.1.0/24</a> dev br_if  proto kernel  scope link  src 10.1.1.218 </div><div>10.1.1.216 via 10.1.1.216 dev br_if  proto static  src 10.1.1.218 </div></div><div><br></div><div>Since this is a lab setup, I configured IP address for br_if and loopback only. </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="gmail-"><br>
> GW_A#ping -I 1.1.1.1 2.2.2.2<br>
> PING 2.2.2.2 (2.2.2.2) from 1.1.1.1 : 56(84) bytes of data.<br>
> 64 bytes from <a href="http://2.2.2.2" rel="noreferrer" target="_blank">2.2.2.2</a>: icmp_seq=1 ttl=64 time=1.42 ms<br>
> 64 bytes from <a href="http://2.2.2.2" rel="noreferrer" target="_blank">2.2.2.2</a>: icmp_seq=2 ttl=64 time=0.257 ms<br>
> 64 bytes from <a href="http://2.2.2.2" rel="noreferrer" target="_blank">2.2.2.2</a>: icmp_seq=3 ttl=64 time=0.271 ms<br>
<br>
</span>For testing your tunnel, please use hosts on LAN1 and LAN2 separate from<br>
your gateways.<br>
This ensures you test what you intended and not something else.<br>
<br></blockquote><div>[Sarat]: I can give a try but want to understand if the behavior be different from</div><div>loopback setup. The traffic between loopbacks also go from GW_A only.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
If you don't need the 1.1.1.1 and 2.2.2.2 addresses for other purposes,<br>
please remove them and restore your previous loopback config.<br></blockquote><div>[Sarat]: This is only a lab setup. </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
Regards,<br>
Mirko<br>
</blockquote></div><br></div></div>