<div dir="ltr"><span style="font-size:12.8px">Hi,</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">We are working on a project where we need a Ipsec vpn tunnel b/w our client to our Virtual private Cloud hosted at google. Due to our client strict policy our clients want a setup where our GCE and VPN instance both must have public IP address. They do not allow us to have GCE on Private IP. (Reason is to avoid conflict of same subnet with other clients). moreover the client end has ASA 5500 cisco firewall.</span><br style="font-size:12.8px"><br style="font-size:12.8px"><span style="font-size:12.8px">Google Cloud (till today) is not supporting such feature, however Google support has suggested us to install strongswan on the GCE Server it self where the application is hosted. the point of confusion are.</span><div><br></div><div>1- which port forwarding rules should we apply on Google cloud firewall that allow strongswan to work properly?</div><div><br></div><div>2.  with reference to the document here. <a href="http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html">http://www.cisco.com/c/en/us/support/docs/ip/internet-key-exchange-ike/117258-config-l2l.html</a></div><div><br></div><div><br></div><div><pre style="margin-top:10px;margin-bottom:10px;padding:0px 0px 5px;border:0px;font-variant-numeric:inherit;font-stretch:inherit;font-size:11px;line-height:inherit;font-family:courier;vertical-align:baseline;overflow:auto;max-width:97%;height:auto;color:rgb(88,88,91)">        left=172.16.10.2                  #strongswan outside address<br>        leftsubnet=<a href="http://192.168.2.0/24">192.168.2.0/24</a>         #network behind strongswan<br>        leftid=172.16.10.2                #IKEID sent by strongswan<br>        leftfirewall=yes<br>        right=172.16.10.1                 #IOS outside address<br>        rightsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a>        #network behind IOS<br>        rightid=172.16.10.1               #IKEID sent by IOS<br>        auto=add<br>        ike=aes128-md5-modp1536           #P1: modp1536 = DH group 5<br>        esp=aes128-sha1                   #P2<br></pre><pre style="margin-top:10px;margin-bottom:10px;padding:0px 0px 5px;border:0px;font-variant-numeric:inherit;font-stretch:inherit;font-size:11px;line-height:inherit;font-family:courier;vertical-align:baseline;overflow:auto;max-width:97%;height:auto;color:rgb(88,88,91)"><br></pre><span style="font-size:12.8px">as you can see left is strongswan outside IP and leftsubnet is the local LAN behind strongswan. now in my case what should i type in "leftsubnet" when there is no any subnet behind strongswan GCE really exist?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Any suggestion will be highly appreciated.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Thanks,</span><br style="font-size:12.8px"><span style="font-size:12.8px">Yousuf</span><br style="font-size:12.8px"></div></div>