<div dir="ltr">Noel. thanks alot i really appreciate your help. <div>one last question is even if we create the tunnel from the VM to the remote firewall.</div><div><br></div><div>here is our diagram</div><div>VM[public IP]-----------------------[public IP]ASA firewall----------------------[computer]</div><div><br></div><div>what ip should we use to acess the VM by a computer behind the firewall. would it be public IP address of the VM?</div><div><br></div><div>sorry if you find it a very layman or a stupid question actually the problem is i have a concept of Openvpn and other VPN services like pptp. l2tp and others. they all use virtual IPs which is called a tunnel IP to connect through the system however in IPsec it works differently. there is no tunnel IP except the policy when matches it enrypt the traffic. </div><div>now the point is we haven't share the encryption domain in configuration and when there is no encrypting and public ip is the only accessing option. so let say if i want to access port application on VM on Port 3389 (just assume) then should i access it through public IP. will the traffic be encrypted  from source second there will be Iptable firewall in VPN. so would strongswan bypass the traffic through firewall. </div><div><br></div><div>Thanks,</div><div>Yousuf</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 16, 2017 at 11:50 PM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">That will work if there's no NAT in between the hosts. Otherwise the proposed TSi and TSr will not match,<br>
because the perceived remote peer's IP will be different from what it proposes as TS.<br>
<span class="im HOEnZb"><br>
On 16.03.2017 19:37, Muhammad Yousuf Khan wrote:<br>
> Thanks you for your input  Noel. it is really appreciated.<br>
> So you mean i delete leftsubnet parameter thats is sufficient and tunnel will work.<br>
><br>
> Thanks,<br>
> Yousuf<br>
><br>
</span><div class="HOEnZb"><div class="h5">> On Thu, Mar 16, 2017 at 10:36 PM, Noel Kuntze <<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a> <mailto:<a href="mailto:noel@familie-kuntze.de">noel@familie-kuntze.de</a><wbr>>> wrote:<br>
><br>
>     On 16.03.2017 07:29, Muhammad Yousuf Khan wrote:<br>
>     ><br>
>     > There is a requriment from our client that we need a ipsec tunnel for communication.<br>
>     > as per our experience with Openvpn we can do that very easily however IPsec works very differently therefore i need your assistence.<br>
><br>
>     Policy based IPsec (which is used by default with strongswan) doesn't require special network devices.<br>
>     Traffic is protected transparently on the physical interface. There's no problem with routing.<br>
><br>
>     > now here is the confusion part leftsubnet is technically called encryption domain in Cisco.<br>
>     > so how come my public IP of a cloud VM can be in both role as remote peer and encryption domain? this is very confusing part.<br>
><br>
>     IKE packets are excepted from IPsec processing. Anything else is subject to it. It works without adding special routes<br>
>     to the routing table(s).<br>
><br>
><br>
>     --<br>
><br>
>     Mit freundlichen Grüßen/Kind Regards,<br>
>     Noel Kuntze<br>
><br>
>     GPG Key ID: 0x63EC6658<br>
>     Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
><br>
><br>
><br>
<br>
--<br>
<br>
Mit freundlichen Grüßen/Kind Regards,<br>
Noel Kuntze<br>
<br>
GPG Key ID: 0x63EC6658<br>
Fingerprint: 23CA BB60 2146 05E7 7278 6592 3839 298F 63EC 6658<br>
<br>
<br>
</div></div></blockquote></div><br></div>