
<div dir="ltr"><div><div><div><div><div>Hi Noel,<br><br></div>Thank for the kind response.  Something happened when I copy/pasted.  <br><br></div>This:<br><br>>        leftsubnet=<a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>

>        leftsourceip=172.21.0.<br><br></div>Actually looks like this:<br><br>>        leftsubnet=<a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>

>        leftsourceip=172.21.0.2<br><br></div>I dont know why the 2 got cut off.<br><br></div>I added this when I could get TS to accept.<br><div><br>> conn AWS-EAST-NAT1-IKE2-TUN<br>

>         leftsubnet=%any<br><br></div><div>I will make the other changes you suggested.  Thanks.<br><br></div><div>CB<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 5, 2016 at 5:46 AM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Chris,<br>

<span class=""><br>

On 05.12.2016 05:23, C Babcock wrote:<br>

> however I cant pass traffic to the server from the client and vice versa.<br>

</span>That is because nearly every single setting in your configuration related to the TS is invalid.<br>

<br>

>        leftsubnet=<a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>

>        leftsourceip=172.21.0.<br>

<br>

First of all, you're assigning virtual IPs to the wrong side.<br>

<br>

Then the value of leftsourceip is invalid. It must be the subnet that you want to assign virtual IPs from.<br>

Do not set leftsubnet, if you already set leftsourceip. Vice versa for rightsubnet and rightsourceip.<br>

<br>

>         rightsubnet=%any<br>

That's invalid, too.<br>

<span class=""><br>

> ip xfrm policy<br>

> src <a href="http://0.0.0.0/32" rel="noreferrer" target="_blank">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>

>         dir fwd priority 2855 ptype main<br>

>         tmpl src 24.11.199.101 dst 172.30.5.161<br>

>                 proto esp reqid 2 mode tunnel<br>

> src <a href="http://0.0.0.0/32" rel="noreferrer" target="_blank">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>

>         dir in priority 2855 ptype main<br>

>         tmpl src 24.11.199.101 dst 172.30.5.161<br>

>                 proto esp reqid 2 mode tunnel<br>

> src <a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32" rel="noreferrer" target="_blank">0.0.0.0/32</a><br>

>         dir out priority 2855 ptype main<br>

>         tmpl src 172.30.5.161 dst 24.11.199.101<br>

>                 proto esp reqid 2 mode tunnel<br>

<br>

</span>Those nonsensical policies are the result of your invalid configuration.<br>

<span class=""><br>

><br>

> ip route show table 220<br>

> 0.0.0.0 via 172.30.5.1 dev eth0  proto static  src 172.21.0.2<br>

<br>

</span>Result of the nonsensical policies.<br>

<br>

> conn AWS-EAST-NAT1-IKE2-TUN<br>

>         leftsubnet=%any<br>

<br>

Invalid setting. Don't set it when using leftsourceip (Unless you know what you're doing, which you obviously don't).<br>

<span class="HOEnZb"><font color="#888888"><br>

<br>

<br>

--<br>

<br>

Mit freundlichen Grüßen/Kind Regards,<br>

Noel Kuntze<br>

<br>

GPG Key ID: 0x63EC6658<br>

Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>

<br>

<br>

</font></span></blockquote></div><br></div>