
<div dir="ltr"><div><div><div>Hello Andreas<br><br></div>Thanks for the help..<br><br></div>Yes!!! It works!....I did just as mentioned in the example shown by you....</div><div><br></div><div><br></div><div>======================================================================<br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc# ipsec statusall<br>Status of IKE charon daemon (weakSwan 5.5.1, Linux 4.4.0-31-generic, i686):<br>  uptime: 20 seconds, since Nov 20 22:20:41 2017<br>  malloc: sbrk 2449408, mmap 0, used 315904, free 2133504<br>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4<br>  loaded plugins: charon ldap aes des blowfish rc2 sha2 sha1 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt fips-prf gmp xcbc cmac hmac ctr ccm gcm sqlite attr kernel-netlink resolve socket-default forecast farp stroke vici updown eap-identity eap-sim eap-aka eap-simaka-pseudonym eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs dhcp lookip error-notify unity<br>Listening IP addresses:<br>  2.2.2.59<br>  192.168.110.25<br>  192.168.24.25<br>  10.232.90.125<br>  192.168.33.25<br>  172.17.1.25<br>  192.168.25.1<br>Connections:<br>       togw1:  2.2.2.59...97.1.1.201  IKEv1, dpddelay=30s<br>       togw1:   local:  [2.2.2.59] uses pre-shared key authentication<br>       togw1:   remote: [97.1.1.201] uses pre-shared key authentication<br>       togw1:   child:  <a href="http://192.168.25.0/24">192.168.25.0/24</a> === <a href="http://192.168.22.0/24">192.168.22.0/24</a> TUNNEL, dpdaction=clear<br>Routed Connections:<br>       togw1{1}:  ROUTED, TUNNEL, reqid 1<br>       togw1{1}:   <a href="http://192.168.25.0/24">192.168.25.0/24</a> === <a href="http://192.168.22.0/24">192.168.22.0/24</a><br>Security Associations (1 up, 0 connecting):<br>       togw1[1]: ESTABLISHED 8 seconds ago, 2.2.2.59[2.2.2.59]...97.1.1.201[97.1.1.201]<br>       togw1[1]: IKEv1 SPIs: 61cc45661e76b9e7_i 9182e288ae7b2058_r*, pre-shared key reauthentication in 23 hours<br>       togw1[1]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024<br>       togw1{2}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c4c01d32_i c25a27dc_o<br>       togw1{2}:  AES_CBC_128/HMAC_SHA1_96, 168 bytes_i (2 pkts, 7s ago), 168 bytes_o (2 pkts, 7s ago), rekeying in 17 hours<br>       togw1{2}:   <a href="http://192.168.25.0/24">192.168.25.0/24</a> === <a href="http://192.168.22.0/24">192.168.22.0/24</a><br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc# iptables -nvL<br>Chain INPUT (policy ACCEPT 116 packets, 19111 bytes)<br> pkts bytes target     prot opt in     out     source               destination<br>    2   168 ACCEPT     all  --  eth0   *       <a href="http://192.168.22.0/24">192.168.22.0/24</a>      <a href="http://192.168.25.0/24">192.168.25.0/24</a>      policy match dir in pol ipsec reqid 1 proto 50<br><br>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination<br>    0     0 ACCEPT     all  --  eth0   *       <a href="http://192.168.22.0/24">192.168.22.0/24</a>      <a href="http://192.168.25.0/24">192.168.25.0/24</a>      policy match dir in pol ipsec reqid 1 proto 50<br>    0     0 ACCEPT     all  --  *      eth0    <a href="http://192.168.25.0/24">192.168.25.0/24</a>      <a href="http://192.168.22.0/24">192.168.22.0/24</a>      policy match dir out pol ipsec reqid 1 proto 50<br><br>Chain OUTPUT (policy ACCEPT 70 packets, 10236 bytes)<br> pkts bytes target     prot opt in     out     source               destination<br>    2   168 ACCEPT     all  --  *      eth0    <a href="http://192.168.25.0/24">192.168.25.0/24</a>      <a href="http://192.168.22.0/24">192.168.22.0/24</a>      policy match dir out pol ipsec reqid 1 proto 50<br>root@lssimgw2:/usr/local/etc#<br>root@lssimgw2:/usr/local/etc# cat ipsec.conf<br># /etc/ipsec.conf - strongSwan IPsec configuration file<br><br>config setup<br>        strictcrlpolicy=no<br>        charondebug="ike 1,chd 1,knl 1,cfg 1"<br><br>conn %default<br>        ikelifetime=24h<br>        keylife=18h<br>        mobike=no<br>        dpddelay=30s<br>        dpdtimeout=90s<br>        dpdaction=clear<br>        rightfirewall=yes<br>        righthostaccess=yes<br><br>conn togw1<br>        right=2.2.2.59<br>        left=97.1.1.201<br>        leftsubnet=<a href="http://192.168.22.0/24">192.168.22.0/24</a><br>        rightsubnet=<a href="http://192.168.25.0/24">192.168.25.0/24</a><br>        leftauth=psk<br>        rightauth=psk<br>        type=tunnel<br>        keyexchange=ikev1<br>        ike=aes128-sha1-modp1024!<br>        esp=aes128-sha1!<br>        auto=route<br>root@lssimgw2:/usr/local/etc#<br>=====================================================</div><div><br></div><div><br>Never expected or rather never knew that we could swap the left/right roles too...Its just what you assign...<br><div><br></div><div>Thank you...learnt something worthwhile today</div><div><br></div><div>regards</div><div>Rajiv</div><div><br></div><div><br></div></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Nov 20, 2017 at 8:59 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Rajiv,<br>

<br>

if "left" is local and "right" is remote then only<br>

leftfirewall and lefthostaccess are defined.<br>

<br>

rightfirewall and righthostaccess are used when<br>

"right" is local and "left" is remote as in the<br>

following scenario where sides are swapped:<br>

<br>

<br>

<a href="https://www.strongswan.net/testing/testresults/ikev2/config-payload-swapped/" rel="noreferrer" target="_blank">https://www.strongswan.net/tes<wbr>ting/testresults/ikev2/config-<wbr>payload-swapped/</a><br>

<br>

Regards<br>

<br>

Andreas<br>

<br>

On 20.11.2017 15:15, Rajiv Kulkarni wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

Hi<br>

<br>

I have a ipsec tunnel deployed/configured as below:<br>

<br>

PC1----(lan)[GW1](wan)=====IPS<wbr>EC====(wan)[GW2](lan)---PC2<br>

<br>

PC1-ipaddr: 192.168.22.x<br>

PC2-ipaddr: 192.168.25.x<br>

<br>

GW1-lan-ipaddr: 192.168.22.1<br>

GW2-lan-ipaddr: 192.168.25.1<br>

<br>

<br>

I see that to allow access to 192.168.22.1 from PC2 (via the ipsec<br>

tunnel) i should use the options "lefthostaccess=yes" (and also<br>

leftfirewall=yes)  on GW1<br>

<br>

And when we use the options..we have the following iptable rules added<br>

on GW1 (thru the updown script automatically whenever the tunnel is UP)<br>

<br>

------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>---------<br>

root@lssimgw1:/usr/local/etc# iptables -nvL<br>

Chain INPUT (policy ACCEPT 52 packets, 4680 bytes)<br>

  pkts bytes target     prot opt in     out     source<br>

destination<br>

     0     0 ACCEPT     all  --  eth0   * <a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">192.168.22.0/24</a><br>

<<a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">http://192.168.22.0/24</a>> <a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">192.168.25.0/24</a> <<a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">http://192.168.25.0/24</a>><br>

policy match dir in pol ipsec reqid 1 proto 50<br>

<br>

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br>

  pkts bytes target     prot opt in     out     source<br>

destination<br>

     0     0 ACCEPT     all  --  eth0   * <a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">192.168.22.0/24</a><br>

<<a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">http://192.168.22.0/24</a>> <a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">192.168.25.0/24</a> <<a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">http://192.168.25.0/24</a>><br>

policy match dir in pol ipsec reqid 1 proto 50<br>

     0     0 ACCEPT     all  --  *      eth0 <a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">192.168.25.0/24</a><br>

<<a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">http://192.168.25.0/24</a>> <a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">192.168.22.0/24</a> <<a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">http://192.168.22.0/24</a>><br>

policy match dir out pol ipsec reqid 1 proto 50<br>

<br>

Chain OUTPUT (policy ACCEPT 40 packets, 3976 bytes)<br>

  pkts bytes target     prot opt in     out     source<br>

destination<br>

     0     0 ACCEPT     all  --  *      eth0 <a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">192.168.25.0/24</a><br>

<<a href="http://192.168.25.0/24" rel="noreferrer" target="_blank">http://192.168.25.0/24</a>> <a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">192.168.22.0/24</a> <<a href="http://192.168.22.0/24" rel="noreferrer" target="_blank">http://192.168.22.0/24</a>><br>

policy match dir out pol ipsec reqid 1 proto 50<br>

root@lssimgw1:/usr/local/etc#<br>

------------------------------<wbr>------------------------------<wbr>------------------------------<wbr>--------------<br>

<br>

- so once we have the above fw rules in place in the INPUT/OUTPUT<br>

chain,..we can access the GW1-lan-ip from PC2 via the ipsec tunnel<br>

successfully...<br>

- The similar observation is also made for using the lefthostaccess<br>

option on GW2 too..<br>

<br>

<br>

<br>

Now if i use "righthostaccess=yes"...i dont see any rules getting added<br>

in the INPUT/OUTPUT chain...neither in GW1 or in GW2<br>

<br>

- So my query is: whats the use of the option<br>

"righthostaccess=yes"...where and when do we use this option?<br>

<br>

<br>

thanks & regards<br>

Rajiv<br>

<br>

<br>

<br><span class="HOEnZb"><font color="#888888">

</font></span></blockquote><span class="HOEnZb"><font color="#888888">

<br>

-- <br>

==============================<wbr>==============================<wbr>==========<br>

Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.<wbr>org</a><br>

strongSwan - the Open Source VPN Solution!          <a href="http://www.strongswan.org" rel="noreferrer" target="_blank">www.strongswan.org</a><br>

Institute for Networked Solutions<br>

University of Applied Sciences Rapperswil<br>

CH-8640 Rapperswil (Switzerland)<br>

==============================<wbr>=============================[<wbr>INS-HSR]==<br>

<br>

</font></span></blockquote></div><br></div>