<div dir="ltr">Hi,<br>
    <br>
    I'm setting up an IKEv2 road warrior setup with OpenWRT as clients. 
    I'm using public key for server auth and radius for client auth and
    IP address assignment.  I have a Phase 1 and 2 up.  I have the
    address I assigned to the client router via the FRAMED-IP-ADDRESS
    attribute, however I cant pass traffic to the server from the client
    and vice versa.  Not sure what I'm missing.  Here's my config<br>
    <br>
    Server(moon):<br>
    <br>
    ipsec.conf<br>
    <b><i>config setup</i></b><b><i><br>
      </i></b><b><i>        charondebug="cfg 3, dmn 2, ike 4, net 3, enc
        1, lib 2, knl 2"</i></b><b><i><br>
      </i></b><b><i><br>
      </i></b><b><i>conn %default</i></b><b><i><br>
      </i></b><b><i>        ikelifetime=60m</i></b><b><i><br>
      </i></b><b><i>        keylife=20m</i></b><b><i><br>
      </i></b><b><i>        rekeymargin=3m</i></b><b><i><br>
      </i></b><b><i>        keyingtries=1</i></b><b><i><br>
      </i></b><b><i>        keyexchange=ikev2</i></b><b><i><br>
      </i></b><b><i><br>
      </i></b><b><i>conn rw-eap</i></b><b><i><br>
      </i></b><b><i>        esp=aes128-sha256!</i></b><b><i><br>
      </i></b><b><i>        ike=aes128-sha256-modp2048!</i></b><b><i><br>
      </i></b><b><i>        left=172.30.5.161</i></b><b><i><br>
      </i></b><b><i>        leftsubnet=<a href="http://172.21.0.0/23">172.21.0.0/23</a></i></b><b><i><br>
      </i></b><b><i>        leftsourceip=172.21.0.</i></b><b><i><br>
      </i></b><b><i>        leftid=@moon</i></b><b><i><br>
      </i></b><b><i>        leftcert=/etc/ipsec.d/public/peer.der</i></b><b><i><br>
      </i></b><b><i>        leftauth=pubkey</i></b><b><i><br>
      </i></b><b><i>        leftfirewall=yes</i></b><b><i><br>
      </i></b><b><i>        <a class="gmail-moz-txt-link-abbreviated" href="mailto:rightid=*@qoya.io">rightid=*@qoya.io</a></i></b><b><i><br>
      </i></b><b><i>        rightauth=eap-radius</i></b><b><i><br>
      </i></b><b><i>        rightsourceip=%radius</i></b><b><i><br>
      </i></b><b><i>        rightsendcert=never</i></b><b><i><br>
      </i></b><b><i>        eap_identity=%any</i></b><b><i><br>
      </i></b><b><i>        right=%any</i></b><b><i><br>
      </i></b><b><i>        rightsubnet=%any</i></b><b><i><br>
      </i></b><b><i>        auto=add<br>
        <br>
        ip xfrm state<br>
        src 172.30.5.161 dst 24.11.199.101<br>
                proto esp spi 0xc8d182d4 reqid 2 mode tunnel<br>
                replay-window 32 flag af-unspec<br>
                auth-trunc hmac(sha256)
        0x6e45c28b474140886e3ec6ad4834e0530338ea1ed768a450a8553bb06a939a1c
        128<br>
                enc cbc(aes) 0xcc66ca5ccc2f07da68ab1b690dc39849<br>
                encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
                anti-replay context: seq 0x0, oseq 0x0, bitmap
        0x00000000<br>
        src 24.11.199.101 dst 172.30.5.161<br>
                proto esp spi 0xc74c6aa8 reqid 2 mode tunnel<br>
                replay-window 32 flag af-unspec<br>
                auth-trunc hmac(sha256)
        0xb130cdaa1f5a15a7564621d1b7aa4ff7a887c092ca73da8db060c4d683867a12
        128<br>
                enc cbc(aes) 0x17fd4e0567a9de2811a946ecdd2dace3<br>
                encap type espinudp sport 4500 dport 4500 addr 0.0.0.0<br>
                anti-replay context: seq 0x0, oseq 0x0, bitmap
        0x00000000<br>
        <br>
        ip xfrm policy<br>
        src <a href="http://0.0.0.0/32">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23">172.21.0.0/23</a><br>
                dir fwd priority 2855 ptype main<br>
                tmpl src 24.11.199.101 dst 172.30.5.161<br>
                        proto esp reqid 2 mode tunnel<br>
        src <a href="http://0.0.0.0/32">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23">172.21.0.0/23</a><br>
                dir in priority 2855 ptype main<br>
                tmpl src 24.11.199.101 dst 172.30.5.161<br>
                        proto esp reqid 2 mode tunnel<br>
        src <a href="http://172.21.0.0/23">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32">0.0.0.0/32</a><br>
                dir out priority 2855 ptype main<br>
                tmpl src 172.30.5.161 dst 24.11.199.101<br>
                        proto esp reqid 2 mode tunnel<br>
        <br>
        ip route show table 220<br>
        0.0.0.0 via 172.30.5.1 dev eth0  proto static  src 172.21.0.2<br>
        <br>
        PING 172.21.0.26 (172.21.0.26) 56(84) bytes of data.<br>
        From 172.21.0.2 icmp_seq=1 Destination Host Unreachable<br>
        From 172.21.0.2 icmp_seq=2 Destination Host Unreachable<br>
        From 172.21.0.2 icmp_seq=3 Destination Host Unreachable<br>
        ^C<br>
        --- 172.21.0.26 ping statistics ---<br>
        4 packets transmitted, 0 received, +3 errors, 100% packet loss,
        time 3065ms<br>
        PING 172.21.0.2 (172.21.0.2) 56(84) bytes of data.<br>
        64 bytes from <a href="http://172.21.0.2">172.21.0.2</a>: icmp_seq=1 ttl=64 time=0.022 ms<br>
        ^C<br>
        <br>
        <br>
        <br>
      </i></b>Client(carol)<br>
    <br>
    <i><b>conn %default</b></i><i><b><br>
      </b></i><i><b>        ikelifetime=60m</b></i><i><b><br>
      </b></i><i><b>        keylife=20m</b></i><i><b><br>
      </b></i><i><b>        rekeymargin=3m</b></i><i><b><br>
      </b></i><i><b>        keyingtries=1</b></i><i><b><br>
      </b></i><i><b>        keyexchange=ikev2</b></i><i><b><br>
      </b></i><i><b><br>
      </b></i><i><b>conn AWS-EAST-NAT1-IKE2-TUN</b></i><i><b><br>
      </b></i><i><b>        esp=aes128-sha256!</b></i><i><b><br>
      </b></i><i><b>        ike=aes128-sha256-modp2048!</b></i><i><b><br>
      </b></i><i><b>        left=%any</b></i><i><b><br>
      </b></i><i><b>        leftsubnet=%any</b></i><i><b><br>
      </b></i><i><b>        <a class="gmail-moz-txt-link-abbreviated" href="mailto:leftid=carol@test.io">leftid=carol@test.io</a></b></i><i><b><br>
      </b></i><i><b>        eap_identity=carol</b></i><i><b><br>
      </b></i><i><b>        leftauth=eap</b></i><i><b><br>
      </b></i><i><b>        leftsourceip=%config4</b></i><i><b><br>
      </b></i><i><b>        leftfirewall=yes</b></i><i><b><br>
      </b></i><i><b>        right=54.209.117.209</b></i><i><b><br>
      </b></i><i><b>        <a class="gmail-moz-txt-link-abbreviated" href="mailto:rightid=@AwsEastNat1.qoya.io">rightid=@AwsEastNat1.qoya.io</a></b></i><i><b><br>
      </b></i><i><b>        rightcert=/etc/ipsec.d/certs/peerCert.der</b></i><i><b><br>
      </b></i><i><b>       
        rightrsasigkey=/etc/ipsec.d/public/peerKey.der</b></i><i><b><br>
      </b></i><i><b>        rightsubnet=<a href="http://172.21.0.0/23">172.21.0.0/23</a></b></i><i><b><br>
      </b></i><i><b>        #rightsourceip=%config</b></i><i><b><br>
      </b></i><i><b>        rightauth=pubkey</b></i><i><b><br>
      </b></i><i><b>        auto=start</b></i><i><b><br>
      </b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc# ip xfrm state</b></i><i><b><br>
      </b></i><i><b>src 10.100.0.116 dst 54.209.117.209</b></i><i><b><br>
      </b></i><i><b>        proto esp spi 0xc757dc0a reqid 1 mode tunnel</b></i><i><b><br>
      </b></i><i><b>        replay-window 0 flag af-unspec</b></i><i><b><br>
      </b></i><i><b>        auth-trunc hmac(sha256)
        0x001ea2c1a506deb3f4b59c5f4e2f2a1acb118ae717d3ecbb1fccb86633cd1e3a
        128</b></i><i><b><br>
      </b></i><i><b>        enc cbc(aes)
        0x19728a8358b8ddd57d0bef53ce777c2e</b></i><i><b><br>
      </b></i><i><b>        encap type espinudp sport 4500 dport 4500
        addr 0.0.0.0</b></i><i><b><br>
      </b></i><i><b>        anti-replay context: seq 0x0, oseq 0x0,
        bitmap 0x00000000</b></i><i><b><br>
      </b></i><i><b>src 54.209.117.209 dst 10.100.0.116</b></i><i><b><br>
      </b></i><i><b>        proto esp spi 0xc37bd7ca reqid 1 mode tunnel</b></i><i><b><br>
      </b></i><i><b>        replay-window 32 flag af-unspec</b></i><i><b><br>
      </b></i><i><b>        auth-trunc hmac(sha256)
        0x62bf6b3df7b454b3c0552d8f82dbc779c576848369528783fb564a57cec064ba
        128</b></i><i><b><br>
      </b></i><i><b>        enc cbc(aes)
        0x3918a72567cfb59bca059472bd4f77a6</b></i><i><b><br>
      </b></i><i><b>        encap type espinudp sport 4500 dport 4500
        addr 0.0.0.0</b></i><i><b><br>
      </b></i><i><b>        anti-replay context: seq 0x0, oseq 0x0,
        bitmap 0x00000000</b></i><i><b><br>
      </b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc# ip xfrm  policy</b></i><i><b><br>
      </b></i><i><b>src <a href="http://172.21.0.0/23">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32">0.0.0.0/32</a></b></i><i><b><br>
      </b></i><i><b>        dir fwd priority 185920</b></i><i><b><br>
      </b></i><i><b>        tmpl src 54.209.117.209 dst 10.100.0.116</b></i><i><b><br>
      </b></i><i><b>                proto esp reqid 1 mode tunnel</b></i><i><b><br>
      </b></i><i><b>src <a href="http://172.21.0.0/23">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32">0.0.0.0/32</a></b></i><i><b><br>
      </b></i><i><b>        dir in priority 185920</b></i><i><b><br>
      </b></i><i><b>        tmpl src 54.209.117.209 dst 10.100.0.116</b></i><i><b><br>
      </b></i><i><b>                proto esp reqid 1 mode tunnel</b></i><i><b><br>
      </b></i><i><b>src <a href="http://0.0.0.0/32">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23">172.21.0.0/23</a></b></i><i><b><br>
      </b></i><i><b>        dir out priority 185920</b></i><i><b><br>
      </b></i><i><b>        tmpl src 10.100.0.116 dst 54.209.117.209</b></i><i><b><br>
      </b></i><i><b>                proto esp reqid 1 mode tunnel</b></i><i><b><br>
      </b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc# ip route show table 220</b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc#</b></i><i><b><br>
      </b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc# ip addr | grep 172.21</b></i><i><b><br>
      </b></i><i><b>    inet <a href="http://172.21.0.26/32">172.21.0.26/32</a> scope global eth0.2   
        <---------------Note: IP is radius assigned from
        FRAMED-IP-ADDRESS</b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc#</b></i><i><b><br>
      </b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc# ping 172.21.0.2</b></i><i><b><br>
      </b></i><i><b>PING 172.21.0.2 (172.21.0.2): 56 data bytes</b></i><i><b><br>
      </b></i><i><b>^C</b></i><i><b><br>
      </b></i><i><b>--- 172.21.0.2 ping statistics ---</b></i><i><b><br>
      </b></i><i><b>3 packets transmitted, 0 packets received, 100%
        packet loss</b></i><i><b><br>
      </b></i><i><b>root@Need-Config:/etc# ping 172.21.0.26</b></i><i><b><br>
      </b></i><i><b>PING 172.21.0.26 (172.21.0.26): 56 data bytes</b></i><i><b><br>
      </b></i><i><b>64 bytes from <a href="http://172.21.0.26">172.21.0.26</a>: seq=0 ttl=64 time=0.360
        ms</b></i><i><b><br>
      </b></i><i><b>64 bytes from <a href="http://172.21.0.26">172.21.0.26</a>: seq=1 ttl=64 time=0.320
        ms</b></i><i><b><br>
      </b></i><i><b>^C</b></i><i><b><br>
      </b></i><i><b>--- 172.21.0.26 ping statistics ---</b></i><i><b><br>
      </b></i><i><b>2 packets transmitted, 2 packets received, 0% packet
        loss</b></i><i><b><br>
      </b></i><i><b>round-trip min/avg/max = 0.320/0.340/0.360 ms</b></i><br>
    <br>
    <br>
    Any thoughts?  Thanks!<br>
    <br>
    Chris</div>