<div dir="ltr">Hi,<br>
<br>
I'm setting up an IKEv2 road warrior setup with OpenWRT as clients.
I'm using public key for server auth and radius for client auth and
IP address assignment. I have a Phase 1 and 2 up. I have the
address I assigned to the client router via the FRAMED-IP-ADDRESS
attribute, however I cant pass traffic to the server from the client
and vice versa. Not sure what I'm missing. Here's my config<br>
<br>
Server(moon):<br>
<br>
ipsec.conf<br>
<b><i>config setup</i></b><b><i><br>
</i></b><b><i> charondebug="cfg 3, dmn 2, ike 4, net 3, enc
1, lib 2, knl 2"</i></b><b><i><br>
</i></b><b><i><br>
</i></b><b><i>conn %default</i></b><b><i><br>
</i></b><b><i> ikelifetime=60m</i></b><b><i><br>
</i></b><b><i> keylife=20m</i></b><b><i><br>
</i></b><b><i> rekeymargin=3m</i></b><b><i><br>
</i></b><b><i> keyingtries=1</i></b><b><i><br>
</i></b><b><i> keyexchange=ikev2</i></b><b><i><br>
</i></b><b><i><br>
</i></b><b><i>conn rw-eap</i></b><b><i><br>
</i></b><b><i> esp=aes128-sha256!</i></b><b><i><br>
</i></b><b><i> ike=aes128-sha256-modp2048!</i></b><b><i><br>
</i></b><b><i> left=172.30.5.161</i></b><b><i><br>
</i></b><b><i> leftsubnet=<a href="http://172.21.0.0/23">172.21.0.0/23</a></i></b><b><i><br>
</i></b><b><i> leftsourceip=172.21.0.</i></b><b><i><br>
</i></b><b><i> leftid=@moon</i></b><b><i><br>
</i></b><b><i> leftcert=/etc/ipsec.d/public/peer.der</i></b><b><i><br>
</i></b><b><i> leftauth=pubkey</i></b><b><i><br>
</i></b><b><i> leftfirewall=yes</i></b><b><i><br>
</i></b><b><i> <a class="gmail-moz-txt-link-abbreviated" href="mailto:rightid=*@qoya.io">rightid=*@qoya.io</a></i></b><b><i><br>
</i></b><b><i> rightauth=eap-radius</i></b><b><i><br>
</i></b><b><i> rightsourceip=%radius</i></b><b><i><br>
</i></b><b><i> rightsendcert=never</i></b><b><i><br>
</i></b><b><i> eap_identity=%any</i></b><b><i><br>
</i></b><b><i> right=%any</i></b><b><i><br>
</i></b><b><i> rightsubnet=%any</i></b><b><i><br>
</i></b><b><i> auto=add<br>
<br>
ip xfrm state<br>
src 172.30.5.161 dst 24.11.199.101<br>
proto esp spi 0xc8d182d4 reqid 2 mode tunnel<br>
replay-window 32 flag af-unspec<br>
auth-trunc hmac(sha256)
0x6e45c28b474140886e3ec6ad4834e0530338ea1ed768a450a8553bb06a939a1c
128<br>
enc cbc(aes) 0xcc66ca5ccc2f07da68ab1b690dc39849<br>
encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
anti-replay context: seq 0x0, oseq 0x0, bitmap
0x00000000<br>
src 24.11.199.101 dst 172.30.5.161<br>
proto esp spi 0xc74c6aa8 reqid 2 mode tunnel<br>
replay-window 32 flag af-unspec<br>
auth-trunc hmac(sha256)
0xb130cdaa1f5a15a7564621d1b7aa4ff7a887c092ca73da8db060c4d683867a12
128<br>
enc cbc(aes) 0x17fd4e0567a9de2811a946ecdd2dace3<br>
encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
anti-replay context: seq 0x0, oseq 0x0, bitmap
0x00000000<br>
<br>
ip xfrm policy<br>
src <a href="http://0.0.0.0/32">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23">172.21.0.0/23</a><br>
dir fwd priority 2855 ptype main<br>
tmpl src 24.11.199.101 dst 172.30.5.161<br>
proto esp reqid 2 mode tunnel<br>
src <a href="http://0.0.0.0/32">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23">172.21.0.0/23</a><br>
dir in priority 2855 ptype main<br>
tmpl src 24.11.199.101 dst 172.30.5.161<br>
proto esp reqid 2 mode tunnel<br>
src <a href="http://172.21.0.0/23">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32">0.0.0.0/32</a><br>
dir out priority 2855 ptype main<br>
tmpl src 172.30.5.161 dst 24.11.199.101<br>
proto esp reqid 2 mode tunnel<br>
<br>
ip route show table 220<br>
0.0.0.0 via 172.30.5.1 dev eth0 proto static src 172.21.0.2<br>
<br>
PING 172.21.0.26 (172.21.0.26) 56(84) bytes of data.<br>
From 172.21.0.2 icmp_seq=1 Destination Host Unreachable<br>
From 172.21.0.2 icmp_seq=2 Destination Host Unreachable<br>
From 172.21.0.2 icmp_seq=3 Destination Host Unreachable<br>
^C<br>
--- 172.21.0.26 ping statistics ---<br>
4 packets transmitted, 0 received, +3 errors, 100% packet loss,
time 3065ms<br>
PING 172.21.0.2 (172.21.0.2) 56(84) bytes of data.<br>
64 bytes from <a href="http://172.21.0.2">172.21.0.2</a>: icmp_seq=1 ttl=64 time=0.022 ms<br>
^C<br>
<br>
<br>
<br>
</i></b>Client(carol)<br>
<br>
<i><b>conn %default</b></i><i><b><br>
</b></i><i><b> ikelifetime=60m</b></i><i><b><br>
</b></i><i><b> keylife=20m</b></i><i><b><br>
</b></i><i><b> rekeymargin=3m</b></i><i><b><br>
</b></i><i><b> keyingtries=1</b></i><i><b><br>
</b></i><i><b> keyexchange=ikev2</b></i><i><b><br>
</b></i><i><b><br>
</b></i><i><b>conn AWS-EAST-NAT1-IKE2-TUN</b></i><i><b><br>
</b></i><i><b> esp=aes128-sha256!</b></i><i><b><br>
</b></i><i><b> ike=aes128-sha256-modp2048!</b></i><i><b><br>
</b></i><i><b> left=%any</b></i><i><b><br>
</b></i><i><b> leftsubnet=%any</b></i><i><b><br>
</b></i><i><b> <a class="gmail-moz-txt-link-abbreviated" href="mailto:leftid=carol@test.io">leftid=carol@test.io</a></b></i><i><b><br>
</b></i><i><b> eap_identity=carol</b></i><i><b><br>
</b></i><i><b> leftauth=eap</b></i><i><b><br>
</b></i><i><b> leftsourceip=%config4</b></i><i><b><br>
</b></i><i><b> leftfirewall=yes</b></i><i><b><br>
</b></i><i><b> right=54.209.117.209</b></i><i><b><br>
</b></i><i><b> <a class="gmail-moz-txt-link-abbreviated" href="mailto:rightid=@AwsEastNat1.qoya.io">rightid=@AwsEastNat1.qoya.io</a></b></i><i><b><br>
</b></i><i><b> rightcert=/etc/ipsec.d/certs/peerCert.der</b></i><i><b><br>
</b></i><i><b>
rightrsasigkey=/etc/ipsec.d/public/peerKey.der</b></i><i><b><br>
</b></i><i><b> rightsubnet=<a href="http://172.21.0.0/23">172.21.0.0/23</a></b></i><i><b><br>
</b></i><i><b> #rightsourceip=%config</b></i><i><b><br>
</b></i><i><b> rightauth=pubkey</b></i><i><b><br>
</b></i><i><b> auto=start</b></i><i><b><br>
</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc# ip xfrm state</b></i><i><b><br>
</b></i><i><b>src 10.100.0.116 dst 54.209.117.209</b></i><i><b><br>
</b></i><i><b> proto esp spi 0xc757dc0a reqid 1 mode tunnel</b></i><i><b><br>
</b></i><i><b> replay-window 0 flag af-unspec</b></i><i><b><br>
</b></i><i><b> auth-trunc hmac(sha256)
0x001ea2c1a506deb3f4b59c5f4e2f2a1acb118ae717d3ecbb1fccb86633cd1e3a
128</b></i><i><b><br>
</b></i><i><b> enc cbc(aes)
0x19728a8358b8ddd57d0bef53ce777c2e</b></i><i><b><br>
</b></i><i><b> encap type espinudp sport 4500 dport 4500
addr 0.0.0.0</b></i><i><b><br>
</b></i><i><b> anti-replay context: seq 0x0, oseq 0x0,
bitmap 0x00000000</b></i><i><b><br>
</b></i><i><b>src 54.209.117.209 dst 10.100.0.116</b></i><i><b><br>
</b></i><i><b> proto esp spi 0xc37bd7ca reqid 1 mode tunnel</b></i><i><b><br>
</b></i><i><b> replay-window 32 flag af-unspec</b></i><i><b><br>
</b></i><i><b> auth-trunc hmac(sha256)
0x62bf6b3df7b454b3c0552d8f82dbc779c576848369528783fb564a57cec064ba
128</b></i><i><b><br>
</b></i><i><b> enc cbc(aes)
0x3918a72567cfb59bca059472bd4f77a6</b></i><i><b><br>
</b></i><i><b> encap type espinudp sport 4500 dport 4500
addr 0.0.0.0</b></i><i><b><br>
</b></i><i><b> anti-replay context: seq 0x0, oseq 0x0,
bitmap 0x00000000</b></i><i><b><br>
</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc# ip xfrm policy</b></i><i><b><br>
</b></i><i><b>src <a href="http://172.21.0.0/23">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32">0.0.0.0/32</a></b></i><i><b><br>
</b></i><i><b> dir fwd priority 185920</b></i><i><b><br>
</b></i><i><b> tmpl src 54.209.117.209 dst 10.100.0.116</b></i><i><b><br>
</b></i><i><b> proto esp reqid 1 mode tunnel</b></i><i><b><br>
</b></i><i><b>src <a href="http://172.21.0.0/23">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32">0.0.0.0/32</a></b></i><i><b><br>
</b></i><i><b> dir in priority 185920</b></i><i><b><br>
</b></i><i><b> tmpl src 54.209.117.209 dst 10.100.0.116</b></i><i><b><br>
</b></i><i><b> proto esp reqid 1 mode tunnel</b></i><i><b><br>
</b></i><i><b>src <a href="http://0.0.0.0/32">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23">172.21.0.0/23</a></b></i><i><b><br>
</b></i><i><b> dir out priority 185920</b></i><i><b><br>
</b></i><i><b> tmpl src 10.100.0.116 dst 54.209.117.209</b></i><i><b><br>
</b></i><i><b> proto esp reqid 1 mode tunnel</b></i><i><b><br>
</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc# ip route show table 220</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc#</b></i><i><b><br>
</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc# ip addr | grep 172.21</b></i><i><b><br>
</b></i><i><b> inet <a href="http://172.21.0.26/32">172.21.0.26/32</a> scope global eth0.2
<---------------Note: IP is radius assigned from
FRAMED-IP-ADDRESS</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc#</b></i><i><b><br>
</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc# ping 172.21.0.2</b></i><i><b><br>
</b></i><i><b>PING 172.21.0.2 (172.21.0.2): 56 data bytes</b></i><i><b><br>
</b></i><i><b>^C</b></i><i><b><br>
</b></i><i><b>--- 172.21.0.2 ping statistics ---</b></i><i><b><br>
</b></i><i><b>3 packets transmitted, 0 packets received, 100%
packet loss</b></i><i><b><br>
</b></i><i><b>root@Need-Config:/etc# ping 172.21.0.26</b></i><i><b><br>
</b></i><i><b>PING 172.21.0.26 (172.21.0.26): 56 data bytes</b></i><i><b><br>
</b></i><i><b>64 bytes from <a href="http://172.21.0.26">172.21.0.26</a>: seq=0 ttl=64 time=0.360
ms</b></i><i><b><br>
</b></i><i><b>64 bytes from <a href="http://172.21.0.26">172.21.0.26</a>: seq=1 ttl=64 time=0.320
ms</b></i><i><b><br>
</b></i><i><b>^C</b></i><i><b><br>
</b></i><i><b>--- 172.21.0.26 ping statistics ---</b></i><i><b><br>
</b></i><i><b>2 packets transmitted, 2 packets received, 0% packet
loss</b></i><i><b><br>
</b></i><i><b>round-trip min/avg/max = 0.320/0.340/0.360 ms</b></i><br>
<br>
<br>
Any thoughts? Thanks!<br>
<br>
Chris</div>