<div dir="ltr">Turns out charon.plugins.stroke.allow_swap handling is missing (or there is a bug) in 5.1.2.<div><br></div><div>I moved to 5.3.5 and I have unencrypted ping now working. </div><div><br></div><div>Thanks.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 23, 2017 at 5:02 PM, Piyush Agarwal <span dir="ltr"><<a href="mailto:agarwalpiyush@gmail.com" target="_blank">agarwalpiyush@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">After some googling, I tried two things:<div>1) changed strongswan.conf to set allow_swap = no:</div><div><br></div><div><div>charon {</div><div>        install_routes = no</div><div>        load_modular = yes</div><div>        plugins {</div><div>                stroke {</div><div>                    allow_swap = no</div><div>                }</div><div>                include strongswan.d/charon/*.conf</div><div>        }</div><div><br></div><div>        filelog {</div><div>                /var/run/charon.log {</div><div>                        default = 2</div><div>                        flush_line = yes</div><div>                }</div><div>        }</div><div>}</div></div><div><br></div><div><br></div><div>2) added "allow_swap = no" in stroke.conf in /etc/strongswan.d/charon/</div><div><br></div><div>But they did not help and I still see this log message in server's charon.log (and not client's):</div><div><br></div><div><div><b>10[CFG] left is other host, swapping ends</b></div></div><div><br></div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 23, 2017 at 4:25 PM, Piyush Agarwal <span dir="ltr"><<a href="mailto:agarwalpiyush@gmail.com" target="_blank">agarwalpiyush@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Exactly, but nowhere in my config file do I find a mistake. How can I correct the TS? <div><br></div><div>Again, my config "skip" for passthrough only specifies leftsubnet and rightsubnet (and they are indeed correct): </div><div><br></div><div>Client's skip conn:</div><div>leftsubnet=<a href="http://1.100.0.9/32" target="_blank">1.100.0.9/32</a></div><div>rightsubnet=<a href="http://1.100.0.5/32" target="_blank">1.100.0.5/32</a></div><div><br></div><div><br></div><div>Server's skip conn:</div><div>leftsubnet=<a href="http://1.100.0.5/32" target="_blank">1.100.0.5/32</a></div><div>rightsubnet=<a href="http://1.100.0.9/32" target="_blank">1.100.0.9/32</a></div><div><br></div><div>Why is the server's TS wrong then? Is this a bug? Right now I am running 5.1.2 (but I also tried 5.3.5).</div><div><br></div><div>Thanks.</div></div><div class="m_5057951301800693964HOEnZb"><div class="m_5057951301800693964h5"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 23, 2017 at 4:20 PM, Noel Kuntze <span dir="ltr"><<a href="mailto:noel@familie-kuntze.de" target="_blank">noel@familie-kuntze.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div>TS is oriented the wrong way.<div><div class="m_5057951301800693964m_2847385855764304121h5"><br><br><div class="gmail_quote">Am 24. Mai 2017 00:12:17 MESZ schrieb Piyush Agarwal <<a href="mailto:agarwalpiyush@gmail.com" target="_blank">agarwalpiyush@gmail.com</a>>:<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">I see this in server's log, is that a red flag? The local address on server 1.100.0.5 (client is 1.100.0.9).<div><br></div><div><div>13[CFG] received stroke: route 'skip'</div><div>13[CFG] proposing traffic selectors for us:</div><div>13[CFG]  <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a></div><div>13[CFG] proposing traffic selectors for other:</div><div>13[CFG]  <a href="http://1.100.0.5/32%5Bicmp%5D" target="_blank">1.100.0.5/32[icmp]</a></div><div>13[KNL] adding policy <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a> === <a href="http://1.100.0.5/32%5Bicmp%5D" target="_blank">1.100.0.5/32[icmp]</a> out  (mark 0/0x00000000)</div><div>13[KNL] adding policy <a href="http://1.100.0.5/32%5Bicmp%5D" target="_blank">1.100.0.5/32[icmp]</a> === <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a> in  (mark 0/0x00000000)</div><div>13[KNL] adding policy <a href="http://1.100.0.5/32%5Bicmp%5D" target="_blank">1.100.0.5/32[icmp]</a> === <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a> fwd  (mark 0/0x00000000)</div><div>13[KNL] getting a local address in traffic selector <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a></div><div><b>13[KNL] no local address found in traffic selector <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a></b></div></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, May 23, 2017 at 2:48 PM,  <span dir="ltr"><<a href="mailto:agarwalpiyush@gmail.com" target="_blank">agarwalpiyush@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div>Thanks for the suggestion. With the change you recommended, I do see some progress. But here are the issues:</div><div><br></div><div>1) client -> server ping: I do see echo request is un-encrypted as seen by tcpdump on server's interface. But tcpdump on the server's interface shows no reply being generated (if I remove passthrough policy, the encrypted replies work just fine). I saw threads about strongswan using route table 220, but I don't see any output of "ip route show table 220". Why is "auto=route" required? How is it messing with the server side's echo reply, assuming that is the case? I tried with auto=start but that still had ICMP packets encrypted.</div><div><br></div><div>2) server -> client ping: I see server's ping show up encrypted on the client's interface. Client's interface tcpdump sees un-unencrypted echo reply. But this reply is not seen on server's interface at all!!</div><div><br></div><div>Does the order of IP addresses in output of "Shunted policies" have any significance? I see server side is showing shunted connected as "client/32 == server/32" which is not what I expected.</div><div><br></div><div><b>Client output:</b></div><div><div><b>client$:ipsec status</b></div><div>Shunted Connections:</div><div><b>        skip:  <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a> === <a href="http://1.100.0.5/32%5Bicmp%5D" target="_blank">1.100.0.5/32[icmp]</a> PASS</b></div><span><div>Security Associations (1 up, 0 connecting):</div></span><div>   1.100.0.5[1]: ESTABLISHED 8 minutes ago, 1.100.0.9[C=US, ST=CA, L=Mountain View, O=OWCA, OU=AgentC, CN=<a href="http://owca.com" target="_blank">owca.com</a>]...1.100.0.5[C=US, ST=CA, L=Mountain View, O=OWCA, OU=AgentC, CN=<a href="http://owca.com" target="_blank">owca.com</a>]</div><div>   1.100.0.5{1}:  INSTALLED, TRANSPORT, reqid 1, ESP SPIs: c5067855_i cfc50c8b_o</div><span><div>   1.100.0.5{1}:   <a href="http://1.100.0.9/32" target="_blank">1.100.0.9/32</a> === <a href="http://1.100.0.5/32" target="_blank">1.100.0.5/32</a></div><div><br></div></span><div><b>Server output:</b></div><div><div><b>server$:ipsec status</b></div><div>Shunted Connections:</div><div><b>        skip:  <a href="http://1.100.0.9/32%5Bicmp%5D" target="_blank">1.100.0.9/32[icmp]</a> === <a href="http://1.100.0.5/32%5Bicmp%5D" target="_blank">1.100.0.5/32[icmp]</a> PASS</b></div><span><div>Security Associations (1 up, 0 connecting):</div></span><div>   1.100.0.9[1]: ESTABLISHED 9 minutes ago, 1.100.0.5[C=US, ST=CA, L=Mountain View, O=OWCA, OU=AgentC, CN=<a href="http://owca.com" target="_blank">owca.com</a>]...1.100.0.9[C=US, ST=CA, L=Mountain View, O=OWCA, OU=AgentC, CN=<a href="http://owca.com" target="_blank">owca.com</a>]</div><div>   1.100.0.9{1}:  INSTALLED, TRANSPORT, reqid 1, ESP SPIs: cfc50c8b_i c5067855_o</div><div>   1.100.0.9{1}:   <a href="http://1.100.0.5/32" target="_blank">1.100.0.5/32</a> === <a href="http://1.100.0.9/32" target="_blank">1.100.0.9/32</a></div></div><div><br></div><div>Much appreciate any help. Racoon/setkey was very straightforward to get this working :( Hopefully it is a mistake I am making/misconfiguring etc.</div><div><br></div><div>Reprinting the ipsec.conf (after changes were done):</div><div><b>Client:</b></div><div><br></div><div><div>conn skip</div><div>    type=passthrough</div><div>    left=127.0.0.1<br></div><div>    leftsubnet=<a href="http://1.100.0.9/32%5Bicmp/%5D" target="_blank">1.100.0.9/32[icmp/]</a></div><div>    leftcert=client_cert.pem</div><div>    leftsendcert=always</div><div>    rightcert=server_cert.pem</div><div>    right=127.0.0.1</div><div>    rightsubnet=<a href="http://1.100.0.5/32%5Bicmp/%5D" target="_blank">1.100.0.5/32[icmp/<wbr>]</a></div><span><div>    auto=route</div><div><br></div><div>conn 1.100.0.5</div><div>    type=transport</div><div>    left=1.100.0.9</div><div>    leftcert=client_cert.pem</div><div>    leftsendcert=always</div><div>    rightcert=server_cert.pem</div><div>    right=1.100.0.5</div><div>    reauth=no</div></span><div>    dpdaction=restart</div><div>    auto=start</div></div><div><br></div><div><b>Server:</b></div><div><br></div><div><div>conn skip</div><div>    type=passthrough</div><div>    left=127.0.0.1</div><div>    leftsubnet=<a href="http://1.100.0.5/32%5Bicmp/%5D" target="_blank">1.100.0.5/32[icmp/]</a></div><div>    leftcert=server_cert.pem</div><div>    leftsendcert=always</div><div>    rightcert=client_cert.pem</div><div>    right=127.0.0.1</div><div>    rightsubnet=<a href="http://1.100.0.9/32%5Bicmp/%5D" target="_blank">1.100.0.9/32[icmp/<wbr>]</a></div><span><div>    auto=route</div><div><br></div><div>conn 1.100.0.9</div><div>    type=transport</div><div>    left=1.100.0.5</div><div>    leftcert=server_cert.pem</div><div>    leftsendcert=always</div><div>    rightcert=client_cert.pem</div><div>    right=1.100.0.9</div><div>    reauth=no</div></span><div>    dpdaction=restart</div><div>    auto=add</div></div><div><br></div><div><br></div><div>Thanks!</div><span><br>On Tuesday, May 23, 2017 at 12:30:15 PM UTC-7, Dusan Ilic wrote:</span><blockquote class="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex"><span>Try following<br><br>    type=passthrough<br>    left=<a href="http://127.0.0.1" rel="nofollow" target="_blank">127.0.0.1</a><br>    leftsubnet=<a href="http://1.100.0.9/32" rel="nofollow" target="_blank">1.100.0.9/32</a>[icmp/]<br>    right=<a href="http://127.0.0.1" rel="nofollow" target="_blank">127.0.0.1</a><br>    rightsubnet=<a href="http://1.100.0.5/32" rel="nofollow" target="_blank">1.100.0.5/32</a>[icmp/<wbr>]<br>    auto=route<br><br><br><br></span>---- <a rel="nofollow">agarwa...@gmail.com</a> skrev ----<div><div class="m_5057951301800693964m_2847385855764304121m_2618532465000393681h5"><br><br><div dir="ltr">Reading another thread, I changed "right" of "skip" connection on both client and server to be  "<a>127.0.0.1</a>" and that fixed up a few things:<div>1) The IPsec installed is type transport (as desired)</div><div>2) I do see shunted policies list ICMP PASS</div><div><br></div><div><b>However, I still have my pings from client to server encrypted :(</b><br></div><div><div><br></div><div><b>Client:</b></div><div><div># ipsec statusall</div><div>Status of IKE charon daemon (strongSwan <a>5.1.2</a>, Linux <a>4.4.0-75</a>-generic, x86_64):</div><div>  uptime: 10 minutes, since May 23 12:02:<a>46 2017</a></div><div>  malloc: sbrk <a>2564096</a>, mmap 0, used <a>393728</a>, free <a>2170368</a></div><div>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3</div><div>  loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 rdrand random nonce x509 revocation constraints pkcs1 pkcs7 pkcs8 pkcs12 pem openssl xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default stroke updown eap-identity addrblock</div><div>Listening IP addresses:</div><div>  <a>1.100.0.9</a></div><div>Connections:</div><div>        skip:  %any...<a href="http://127.0.0.1" rel="nofollow" target="_blank">127.0.0.1</a>  IKEv2</div><div>        skip:   local:  [C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>] uses public key authentication</div><div>        skip:    cert:  "C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>"</div><div>        skip:   remote: [C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>] uses public key authentication</div><div>        skip:    cert:  "C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>"</div><div>        skip:   child:  <a>0.0.0.0</a>/0[icmp] === <a>0.0.0.0</a>/0[icmp] PASS</div><div>   <a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>:  <a>1.100.0.9...1.100.0.5</a>  IKEv2, dpddelay=60s</div><div>   <a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>:   local:  [C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>] uses public key authentication</div><div>   <a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>:    cert:  "C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>"</div><div>   <a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>:   remote: [C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>] uses public key authentication</div><div>   <a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>:    cert:  "C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>"</div><div>   <a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>:   child:  dynamic === dynamic <b>TRANSPORT</b>, dpdaction=restart</div><div><b>Shunted Connections:</b></div><div><b>        skip:  <a>0.0.0.0</a>/0[icmp] === <a>0.0.0.0</a>/0[icmp] PASS</b></div><div>Security Associations (1 up, 0 connecting):</div><div>   <a>1.100.0.5</a>[1]: ESTABLISHED 10 minutes ago, <a>1.100.0.9</a>[C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>]...<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>[C=US, ST=CA, L=Mountain View, O=TEST, OU=AgentC, CN=<a href="http://test.com" rel="nofollow" target="_blank">test.com</a>]</div><div>   <a>1.100.0.5</a>[1]: IKEv2 SPIs: be5caa6cea2281c2_i* 79bb5ad924d8d919_r, rekeying in 44 minutes</div><div>   <a>1.100.0.5</a>[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_H<wbr>MAC_SHA1/MODP_2048</div><div>   <a>1.100.0.5</a>{1}:  INSTALLED, <b>TRANSPORT</b>, ESP SPIs: c989f733_i c3f6a42e_o</div><div>   <a>1.100.0.5</a>{1}:  AES_CBC_128/HMAC_SHA1_96, <a>520206</a> bytes_i (2551 pkts, 1s ago), <a>1691623</a> bytes_o (2986 pkts, 10s ago), rekeying in 5 minutes</div><div>   <a>1.100.0.5</a>{1}:   <b><a>1.100.0.9</a>/32 === <a>1.100.0.5</a>/32</b> </div><div><br></div><div><br></div><div><b>Client setkey -DP output:</b></div><div><div><a>1.100.0.5</a>[any] <a>1.100.0.9</a>[any] 255</div><div>        in prio high + <a>1073740029</a> ipsec</div><div>        esp/transport//unique:1</div><div>        created: May 23 12:18:<a>12 2017</a>  lastused: May 23 12:18:<a>52 2017</a></div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=2248 seq=1 pid=176401</div><div>        refcnt=11</div><div><a>1.100.0.9</a>[any] <a>1.100.0.5</a>[any] 255</div><div>        out prio high + <a>1073740029</a> ipsec</div><div>        esp/transport//unique:1</div><div>        created: May 23 12:18:<a>12 2017</a>  lastused: May 23 12:18:<a>47 2017</a></div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=2241 seq=2 pid=176401</div><div>        refcnt=11</div><div><a>0.0.0.0</a>/0 <a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> icmp</div><div>        fwd prio high + <a>1073739774</a> none</div><div>        created: May 23 12:02:<a>46 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=2130 seq=3 pid=176401</div><div>        refcnt=1</div><div><a>0.0.0.0</a>/0 <a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> icmp</div><div>        in prio high + <a>1073739774</a> none</div><div>        created: May 23 12:02:<a>46 2017</a>  lastused: May 23 12:02:<a>50 2017</a></div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=2120 seq=4 pid=176401</div><div>        refcnt=1</div><div><a>0.0.0.0</a>/0 <a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> icmp</div><div>        out prio high + <a>1073739774</a> none</div><div>        created: May 23 12:02:<a>46 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=2113 seq=5 pid=176401</div><div>        refcnt=1</div></div><div><br></div><br>On Tuesday, May 23, 2017 at 11:29:04 AM UTC-7, <a>agarwa...@gmail.com</a> wrote:<blockquote class="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Noel,<div>Many thanks for the pointer. Looks like I am missing something more or perhaps making a mistake. </div><div><br></div><div>Client [<a href="http://1.100.0.9" rel="nofollow" target="_blank">1.100.0.9</a>] -- Server [<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>] <br></div><div><br></div><div>Goal: All non-ICMP traffic to be over IPsec tunnel between these two machines.</div><div><br></div><div>Strongswan <a>5.1.2</a></div><div><br></div><div>The client and server are using self-signed certificates and have each other's certs in /etc/ipsec.d/certs/</div><div><br></div><div><b>Client <a href="http://ipsec.conf" rel="nofollow" target="_blank">ipsec.conf</a>:</b></div><div><div><br></div></div><div><div>config setup</div><div>    charondebug = "dmn 0,mgr 1, ike 2, job 2, cfg 2, knl 1, net 1, tls 1, lib 0, enc 0, tnc 0"</div><div>    uniqueids=no</div><div><br></div><div>conn %default</div><div>    ikelifetime=60m</div><div>    keylife=20m</div><div>    rekeymargin=3m</div><div>    keyingtries=1</div><div>    keyexchange=ikev2</div><div>    authby=rsasig</div><div><br></div><div>conn skip</div><div>    type=<b><font color="#ff0000">passthrough</font></b></div><div>    left=<a href="http://1.100.0.9" rel="nofollow" target="_blank">1.100.0.9</a></div><div>    leftsubnet=<a href="http://0.0.0.0/0%5Bicmp/%5D" rel="nofollow" target="_blank">0.0.0.0/0[icmp/]</a></div><div>    leftcert=client_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    leftsendcert=always</div><div>    rightcert=server_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    right=<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a></div><div>    rightsubnet=<a href="http://0.0.0.0/0%5Bicmp/%5D" rel="nofollow" target="_blank">0.0.0.0/0[icmp/]</a></div><div>    auto=route</div><div><br></div><div>conn <a>1.100.0.5</a></div><div>    type=<font color="#ff0000"><b>transport</b></font></div><div>    left=<a href="http://1.100.0.9" rel="nofollow" target="_blank">1.100.0.9</a></div><div>    leftcert=client_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    leftsendcert=always</div><div>    rightcert=server_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    right=<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a></div><div>    reauth=no</div><div>    auto=start</div></div><div><br></div><div><b>Server <a href="http://ipsec.conf" rel="nofollow" target="_blank">ipsec.conf</a>:</b></div><div><br></div><div><div>config setup</div><div>    charondebug = "dmn 0,mgr 1, ike 2, job 2, cfg 2, knl 1, net 1, tls 1, lib 0, enc 0, tnc 0"</div><div>    uniqueids=no</div><div><br></div><div>conn %default</div><div>    ikelifetime=60m</div><div>    keylife=20m</div><div>    rekeymargin=3m</div><div>    keyingtries=1</div><div>    keyexchange=ikev2</div><div>    authby=rsasig</div><div><br></div><div>conn skip</div><div>    type=<b><font color="#ff0000">passthrough</font></b></div><div>    left=<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a></div><div>    leftsubnet=<a href="http://0.0.0.0/0%5Bicmp/%5D" rel="nofollow" target="_blank">0.0.0.0/0[icmp/]</a></div><div>    leftcert=server_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    leftsendcert=always</div><div>    rightcert=client_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    right=<a href="http://1.100.0.9" rel="nofollow" target="_blank">1.100.0.9</a></div><div>    rightsubnet=<a href="http://0.0.0.0/0%5Bicmp/%5D" rel="nofollow" target="_blank">0.0.0.0/0[icmp/]</a></div><div>    auto=route</div><div><br></div><div>conn <a>1.100.0.9</a></div><div>    type=<b><font color="#ff0000">transport</font></b></div><div>    left=<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a></div><div>    leftcert=server_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    leftsendcert=always</div><div>    rightcert=client_<a href="http://cert.pem" rel="nofollow" target="_blank">cert.pem</a></div><div>    right=<a href="http://1.100.0.9" rel="nofollow" target="_blank">1.100.0.9</a></div><div>    reauth=no</div><div>    auto=add</div></div><div><br></div><div><div>=============</div><div>Output of setkey -DP on client:</div><div><div>root@agarwalpiyush0:/usr/local<wbr>/google/home/agarwalpiyush/wor<wbr>k/agent-v# ./sbin/nfv_cli dm_carl0 setkey -DP</div><div><a>1.100.0.5 1.100.0.9</a> icmp</div><div>        fwd prio high + <a>1073740030</a> ipsec</div><div>        esp/tunnel/<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>-<a href="http://1.100.0.9/unique:1" rel="nofollow" target="_blank">1.100.0.9<wbr>/unique:1</a></div><div>        created: May 23 11:21:<a>42 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=1834 seq=1 pid=103981</div><div>        refcnt=1</div><div><a>1.100.0.5 1.100.0.9</a> icmp</div><div>        in prio high + <a>1073740030</a> ipsec</div><div>        esp/tunnel/<a href="http://1.100.0.5" rel="nofollow" target="_blank">1.100.0.5</a>-<a href="http://1.100.0.9/unique:1" rel="nofollow" target="_blank">1.100.0.9<wbr>/unique:1</a></div><div>        created: May 23 11:21:<a>42 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=1824 seq=2 pid=103981</div><div>        refcnt=1</div><div><a>1.100.0.9 1.100.0.5</a> icmp</div><div>        out prio high + <a>1073740030</a> ipsec</div><div>        esp/tunnel/<a href="http://1.100.0.9" rel="nofollow" target="_blank">1.100.0.9</a>-<a href="http://1.100.0.5/unique:1" rel="nofollow" target="_blank">1.100.0.5<wbr>/unique:1</a></div><div>        created: May 23 11:21:<a>42 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=1817 seq=3 pid=103981</div><div>        refcnt=1</div><div><a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> icmp</div><div>        fwd prio high + <a>1073739774</a> none</div><div>        created: May 23 11:21:<a>31 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=1698 seq=4 pid=103981</div><div>        refcnt=1</div><div><a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> icmp</div><div>        in prio high + <a>1073739774</a> none</div><div>        created: May 23 11:21:<a>31 2017</a>  lastused: May 23 11:21:<a>35 2017</a></div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=1688 seq=5 pid=103981</div><div>        refcnt=2</div><div><a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> <a href="http://0.0.0.0/0" rel="nofollow" target="_blank">0.0.0.0/0</a> icmp</div><div>        out prio high + <a>1073739774</a> none</div><div>        created: May 23 11:21:<a>31 2017</a>  lastused:                     </div><div>        lifetime: 0(s) validtime: 0(s)</div><div>        spid=1681 seq=6 pid=103981</div><div>        refcnt=1</div></div><div><br></div><div><div><br></div></div><div>Questions:</div><div>1) I'd like a transport type IPsec session for all non-ICMP traffic between client and server. As soon as I specify "passthrough" policy, my IPsec session changes to type "tunnel" from output of ipsec status. Clearly I am not specifying passthrough policy correctly.</div><div><br></div><div>1) Do I need to specify left/right for my "skip" passthrough conn? If I do NOT specify left and right for skip connection, I see the IPsec type remains transport (which is good and what I want), I do see shunted policies in "ipsec status" but I still see ping packets are encrypted.</div><div><br></div><div>Thank you for any help!</div><div>Piyush</div><div><br></div>On Monday, May 22, 2017 at 12:19:17 PM UTC-7, Noel Kuntze wrote:<blockquote class="gmail_quote" style="margin:0;margin-left:0.8ex;border-left:1px #ccc solid;padding-left:1ex"><div>Add a passthrough policy for the protocol.<br><br><div class="gmail_quote">Am 22. Mai 2017 19:09:03 MESZ schrieb Piyush Agarwal <<a rel="nofollow">agarwa...@gmail.com</a>>:<blockquote class="gmail_quote" style="margin:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Hi,<div>Reading through the left|rightsubnet, it seems like there is no way to *exclude* a protocol from getting encrypted? </div><div><br></div><div>I have a host to host tunnel and I want to encrypt everything between these except ICMP since I'd like to do out-of-tunnel ping/traceroute.</div><div><br></div><div>Prior to using strongswan, I was using racoon where I could use setkey to manually update the SPD to exclude icmp alone.</div><div><br></div><div>Please advise if there is any way to achieve this with strongswan.</div><div><br></div><div>Thanks.<br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-size:12.8px">Piyush Agarwal</span><br></div><div><span style="color:rgb(17,17,17)"><font face="arial, helvetica, sans-serif" size="2">Life can only be understood backwards; but it must be lived forwards.</font></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div></div>
</blockquote></div><br>
-- <br>
Sent from mobile</div></blockquote></div></div></blockquote></div></div></div></div></div></blockquote></div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="m_5057951301800693964m_2847385855764304121m_2618532465000393681gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-size:12.8px">Piyush Agarwal</span><br></div><div><span style="color:rgb(17,17,17)"><font face="arial, helvetica, sans-serif" size="2">Life can only be understood backwards; but it must be lived forwards.</font></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
</blockquote></div><br>
-- <br>
Sent from mobile</div></div></div>

<p></p>

-- <br><span>
You received this message because you are subscribed to a topic in the Google Groups "strongswan-users" group.<br>
To unsubscribe from this topic, visit <a href="https://groups.google.com/d/topic/strongswan-users/xLYdnbbn71U/unsubscribe" target="_blank">https://groups.google.com/d/to<wbr>pic/strongswan-users/xLYdnbbn7<wbr>1U/unsubscribe</a>.<br>
To unsubscribe from this group and all its topics, send an email to <a href="mailto:strongswan-users+unsubscribe@googlegroups.com" target="_blank">strongswan-users+unsubscribe@g<wbr>ooglegroups.com</a>.<br>
To post to this group, send email to <a href="mailto:strongswan-users@googlegroups.com" target="_blank">strongswan-users@googlegroups.<wbr>com</a>.<br></span>
To view this discussion on the web visit <a href="https://groups.google.com/d/msgid/strongswan-users/02D99C08-5DEC-463B-AC3B-C58B570D9F5E%40familie-kuntze.de?utm_medium=email&utm_source=footer" target="_blank">https://groups.google.com/d/ms<wbr>gid/strongswan-users/02D99C08-<wbr>5DEC-463B-AC3B-C58B570D9F5E%40<wbr>familie-kuntze.de</a>.<div class="m_5057951301800693964m_2847385855764304121HOEnZb"><div class="m_5057951301800693964m_2847385855764304121h5"><br>
For more options, visit <a href="https://groups.google.com/d/optout" target="_blank">https://groups.google.com/d/op<wbr>tout</a>.<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="m_5057951301800693964m_2847385855764304121gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-size:12.8px">Piyush Agarwal</span><br></div><div><span style="color:rgb(17,17,17)"><font face="arial, helvetica, sans-serif" size="2">Life can only be understood backwards; but it must be lived forwards.</font></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="m_5057951301800693964gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-size:12.8px">Piyush Agarwal</span><br></div><div><span style="color:rgb(17,17,17)"><font face="arial, helvetica, sans-serif" size="2">Life can only be understood backwards; but it must be lived forwards.</font></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-size:12.8px">Piyush Agarwal</span><br></div><div><span style="color:rgb(17,17,17)"><font face="arial, helvetica, sans-serif" size="2">Life can only be understood backwards; but it must be lived forwards.</font></span><br></div></div></div></div></div></div></div></div></div></div></div></div></div>
</div>