
<div dir="ltr"><div><div><div>Thank you very much for an advice. It looks interesting but also adds significant complexity to the solution. Did you find route based VPN working for rightsubnet overlap scenario?<br><br></div>I'm going to try this probably but with libipsec rather that vti devices (kernel too old for vti). As far as I understand the solution you've proposed I can add priorities to the tunnels by adding a metrics to routes (and prefer conn1 over conn2). Am I correct?<br><br></div>Best regards,<br></div>John<br></div><div class="gmail_extra"><br><div class="gmail_quote">2017-08-24 11:34 GMT+02:00 Vincent Bernat <span dir="ltr"><<a href="mailto:bernat@luffy.cx" target="_blank">bernat@luffy.cx</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"> ❦ 24 août 2017 11:27 +0200, John Brown <<a href="mailto:jb20141125@gmail.com">jb20141125@gmail.com</a>> :<br>

<span class=""><br>

> I'm searching the net but cannot find reliable answer for problem:<br>

><br>

> Is this possible in strongswan to have two connections with the same<br>

> rightsubnet entry and prefer one connection over another?<br>

><br>

> For example:<br>

><br>

> ...<br>

><br>

> conn1<br>

>     ...<br>

>     rightsubnet=<a href="http://10.10.0.0/16" rel="noreferrer" target="_blank">10.10.0.0/16</a><br>

><br>

> conn2<br>

>     ...<br>

>     rightsubnet=<a href="http://10.10.0.0/16" rel="noreferrer" target="_blank">10.10.0.0/16</a><br>

><br>

><br>

> and in ideal scenario both conns are up but conn1 is used for tx/rx<br>

> encrypted traffic when possible, conn2 only in case of lack of conn1.<br>

<br>

</span>One solution is to use routes to divert traffic to one of the tunnel or<br>

the other:<br>

 <a href="https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN" rel="noreferrer" target="_blank">https://wiki.strongswan.org/<wbr>projects/strongswan/wiki/<wbr>RouteBasedVPN</a><br>

<span class="HOEnZb"><font color="#888888">--<br>

Use self-identifying input.  Allow defaults.  Echo both on output.<br>

            - The Elements of Programming Style (Kernighan & Plauger)<br>

</font></span></blockquote></div><br></div>