<div dir="ltr">Hi,<div><br></div><div>I have setup Strongswan 5 to connect iphone devices to a remote VPN server with a LAN behind it, all traffic is encrypted.</div><div><br></div><div>Sadly I haven't been able to make the VPN clients access the internal LAN without putting a masquerade rule in the LAN interface of the server, since I need to log the IP of each client on the internal DNS this has been a blockroad.</div><div><br></div><div>I'm kind of new to Strongswan so maybe I missed something.</div><div><br></div><div>If I put a public DNS server like 8.8.8.8 in rightdns clients can access it, if I put my local DNS it won't work unless I masquerade the out interface.</div><div><br></div><div>Tcpdump shows a packet from the VPN subnet as source going to the DNS server as destination but the packet never arrives at the DNS.</div><div><br></div><div>I already added static route into the DNS routing table for the VPN subnet.</div><div><br></div><div>Here is my ipsec.conf in the VPN server.</div><div><br></div><div><div>config setup</div><div>    cachecrls=yes</div><div>    uniqueids=yes</div><div>    charondebug="cfg 2, chd 2, esp 2, ike 2, knl 2, mgr 2, net 2"</div><div><br></div><div>conn ios</div><div>    keyexchange=ikev1</div><div>    authby=xauthpsk</div><div>    xauth=server</div><div>    left=%defaultroute</div><div>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftfirewall=yes</div><div>    lefthostaccess=yes</div><div>    right=%any</div><div>    rightsubnet=<a href="http://192.168.47.0/24">192.168.47.0/24</a></div><div>    rightsourceip=<a href="http://192.168.47.1/24">192.168.47.1/24</a></div><div>    rightdns=172.16.10.2</div><div>    righthostaccess=yes</div><div>    auto=add</div></div><div><br></div><div><br></div><div>strongswan.conf</div><div><br></div><div><div>charon {</div><div>        load_modular = yes</div><div>        plugins {</div><div><br></div><div>                include strongswan.d/charon/*.conf</div><div>        }</div><div>}</div><div><br></div><div>include strongswan.d/*.conf</div></div><div><br></div><div><br></div><div>iptables-save </div><div><br></div><div><div>root@SSvpn01:~# iptables-save</div><div># Generated by iptables-save v1.6.0 on Sun May 14 00:18:25 2017</div><div>*filter</div><div>:INPUT ACCEPT [5741:1711308]</div><div>:FORWARD ACCEPT [10:1033]</div><div>:OUTPUT ACCEPT [5709:1646619]</div><div>COMMIT</div><div># Completed on Sun May 14 00:18:25 2017</div><div># Generated by iptables-save v1.6.0 on Sun May 14 00:18:25 2017</div><div>*nat</div><div>:PREROUTING ACCEPT [0:0]</div><div>:INPUT ACCEPT [0:0]</div><div>:OUTPUT ACCEPT [0:0]</div><div>:POSTROUTING ACCEPT [0:0]</div><div>-A POSTROUTING -o eth0 -j MASQUERADE</div><div>-A POSTROUTING -o eth1 -j MASQUERADE  <- this makes all clients IP appear as if they came from the server</div><div>COMMIT</div><div># Completed on Sun May 14 00:18:25 2017</div></div><div><br></div><div>Any help would be appreciated.</div></div>