<div dir="ltr"><div><div><div><div><div>Hi Noel,<br><br></div>Thank for the kind response.  Something happened when I copy/pasted.  <br><br></div>This:<br><br>>        leftsubnet=<a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>
>        leftsourceip=172.21.0.<br><br></div>Actually looks like this:<br><br>>        leftsubnet=<a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>
>        leftsourceip=172.21.0.2<br><br></div>I dont know why the 2 got cut off.<br><br></div>I added this when I could get TS to accept.<br><div><br>> conn AWS-EAST-NAT1-IKE2-TUN<br>
>         leftsubnet=%any<br><br></div><div>I will make the other changes you suggested.  Thanks.<br><br></div><div>CB<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Dec 5, 2016 at 5:46 AM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello Chris,<br>
<span class=""><br>
On 05.12.2016 05:23, C Babcock wrote:<br>
> however I cant pass traffic to the server from the client and vice versa.<br>
</span>That is because nearly every single setting in your configuration related to the TS is invalid.<br>
<br>
>        leftsubnet=<a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>
>        leftsourceip=172.21.0.<br>
<br>
First of all, you're assigning virtual IPs to the wrong side.<br>
<br>
Then the value of leftsourceip is invalid. It must be the subnet that you want to assign virtual IPs from.<br>
Do not set leftsubnet, if you already set leftsourceip. Vice versa for rightsubnet and rightsourceip.<br>
<br>
>         rightsubnet=%any<br>
That's invalid, too.<br>
<span class=""><br>
> ip xfrm policy<br>
> src <a href="http://0.0.0.0/32" rel="noreferrer" target="_blank">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>
>         dir fwd priority 2855 ptype main<br>
>         tmpl src 24.11.199.101 dst 172.30.5.161<br>
>                 proto esp reqid 2 mode tunnel<br>
> src <a href="http://0.0.0.0/32" rel="noreferrer" target="_blank">0.0.0.0/32</a> dst <a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a><br>
>         dir in priority 2855 ptype main<br>
>         tmpl src 24.11.199.101 dst 172.30.5.161<br>
>                 proto esp reqid 2 mode tunnel<br>
> src <a href="http://172.21.0.0/23" rel="noreferrer" target="_blank">172.21.0.0/23</a> dst <a href="http://0.0.0.0/32" rel="noreferrer" target="_blank">0.0.0.0/32</a><br>
>         dir out priority 2855 ptype main<br>
>         tmpl src 172.30.5.161 dst 24.11.199.101<br>
>                 proto esp reqid 2 mode tunnel<br>
<br>
</span>Those nonsensical policies are the result of your invalid configuration.<br>
<span class=""><br>
><br>
> ip route show table 220<br>
> 0.0.0.0 via 172.30.5.1 dev eth0  proto static  src 172.21.0.2<br>
<br>
</span>Result of the nonsensical policies.<br>
<br>
> conn AWS-EAST-NAT1-IKE2-TUN<br>
>         leftsubnet=%any<br>
<br>
Invalid setting. Don't set it when using leftsourceip (Unless you know what you're doing, which you obviously don't).<br>
<span class="HOEnZb"><font color="#888888"><br>
<br>
<br>
--<br>
<br>
Mit freundlichen Grüßen/Kind Regards,<br>
Noel Kuntze<br>
<br>
GPG Key ID: 0x63EC6658<br>
Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
<br>
<br>
</font></span></blockquote></div><br></div>