<div dir="ltr">Hi,<div><br></div><div>i have configure a subnet to subnet tunnel succesfully from AWS to Google cloud with strong swan. however there is a problem when i am creating a tunnel from host to subnet. PLEASE NOTE that this is a test environment for production. because one of our client does not allow us to use private IP as encryption domain. so i am creating a test scenario so later i can just change the settings and connect to the remote client.</div><div><br></div><div>here is a diagram of connection. </div><div><br></div><div><br></div><div><a href="http://10.2.0.2/32------NAT-PublicIP">10.2.0.2/32------NAT-PublicIP</a> X.X.X.X------------------Y.Y.Y.YPublicIPNAT----------172.31.15.251/20</div><div><br></div><div>in this case public ip X.X.X.X has to create a tunnel with <a href="http://172.31.15.251/32">172.31.15.251/32</a> subnet. where strongswan is running on <a href="http://10.2.0.2/32">10.2.0.2/32</a> and on otherend it is running on 172.31.15.251</div><div><br></div><div>however my requirement is create tunnel b/w X.X.X.X --------------172.31.15.251 it is because the other side  does not allow private IP as encryption domain. thus i have been wokring on this setup for quite some time even the tunnel is also created though communication is not established.</div><div><br></div><div>here is the <a href="http://10.2.0.2/32">10.2.0.2/32</a> /etc/ipsec.conf<br></div><div><div>conn vpn1</div><div> type=tunnel</div><div> authby=secret</div><div> forceencaps=yes</div><div> auto=start</div><div> left=10.240.0.2</div><div> leftsourceip=10.240.0.2</div><div> leftid=X.X.X.X</div><div>  leftsubnet=X.X.X.X</div><div> #leftfirewall=yes</div><div> leftauth=psk</div><div> right=Y.Y.Y.Y</div><div> rightid=Y.Y.Y.Y</div><div> rightsubnet=<a href="http://172.31.0.0/20">172.31.0.0/20</a></div><div> rightauth=psk</div><div> ikelifetime=86400s</div><div> keylife=28800s</div><div> ike=aes256-sha1-modp1024</div><div> esp=aes256-sha1-modp1024</div><div> aggressive = no</div><div> lifebytes=4608000</div><div> #mobike=no</div><div> keyexchange = ikev1</div></div><div><br></div><div><br></div><div>here is the <a href="http://172.31.15.251/32">172.31.15.251/32</a> /etc/ipsec.conf<br></div><div><br></div><div><br></div><div><div>conn vpn1</div><div> type=tunnel</div><div> authby=secret</div><div> forceencaps=yes</div><div> auto=start</div><div> left=172.31.15.251</div><div> leftsourceip=172.31.15.251</div><div> leftid=Y.Y.Y.Y</div><div> leftsubnet=<a href="http://172.31.0.0/20">172.31.0.0/20</a></div><div> #leftfirewall=yes</div><div> leftauth=psk</div><div> right=X.X.X.X</div><div> rightid=X.X.X.X</div><div> rightsubnet=X.X.X.X</div><div> rightauth=psk</div><div> ikelifetime=86400s</div><div> keylife=28800s</div><div> ike=aes256-sha1-modp1024</div><div> esp=aes256-sha1-modp1024</div><div> aggressive = no</div><div> lifebytes=4608000</div><div> #mobike=no</div><div> keyexchange = ikev1</div><div><br></div></div><div><br></div><div>here you can see the tunnel is established and packet are being sent in one direction however we do not receive packet from other direction. </div><div><br></div><div><div>Connections:</div><div>        vpn1:  172.31.15.251...X.X.X.X  IKEv1</div><div>        vpn1:   local:  [Y.Y.Y.Y] uses pre-shared key authentication</div><div>        vpn1:   remote: [X.X.X.X] uses pre-shared key authentication</div><div>        vpn1:   child:  <a href="http://172.31.0.0/20">172.31.0.0/20</a> === X.X.X.X/32 TUNNEL</div><div>Security Associations (1 up, 0 connecting):</div><div>        vpn1[1]: ESTABLISHED 90 seconds ago, 172.31.15.251[54.236.61.172]...X.X.X.X[X.X.X.X]</div><div>        vpn1[1]: IKEv1 SPIs: 6c3c7a44c29e0b5d_i* c6112aad11e12705_r, pre-shared key reauthentication in 23 hours</div><div>        vpn1[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024</div><div>        vpn1{1}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: cfeeb215_i cc4ac0ab_o</div><div>        vpn1{1}:  AES_CBC_256/HMAC_SHA1_96, 0 bytes_i, 0 bytes_o (0 pkts, 11s ago), rekeying in 7 hours</div><div>        vpn1{1}:   <a href="http://172.31.0.0/20">172.31.0.0/20</a> === X.X.X.X</div><div>        vpn1{2}:  INSTALLED, TUNNEL, reqid 1, ESP in UDP SPIs: ce6f78f9_i c78b826e_o</div><div>        vpn1{2}:  AES_CBC_256/HMAC_SHA1_96, 0 bytes_i, 3780 bytes_o (45 pkts, 11s ago), rekeying in 7 hours</div><div>        vpn1{2}:   <a href="http://172.31.0.0/20">172.31.0.0/20</a> === X.X.X.X</div></div><div><br></div><div><br></div><div><br></div><div>Thanks,</div><div>Yousuf</div><div><br></div></div>