<div dir="ltr"><div><div><div>Hi<br></div><div><br></div><div>I have a ipsec tunnel deployed/configured as below:</div><div><br></div><div>PC1----(lan)[GW1](wan)=====IPSEC====(wan)[GW2](lan)---PC2<br></div><div><br></div><div>PC1-ipaddr: 192.168.22.x</div><div>PC2-ipaddr: 192.168.25.x<br></div><div><br></div><div>GW1-lan-ipaddr: 192.168.22.1</div><div>GW2-lan-ipaddr: 192.168.25.1</div><div><br></div><div><br></div>I see that to allow access to 192.168.22.1 from PC2 (via the ipsec tunnel) i should use the options "lefthostaccess=yes" (and also leftfirewall=yes)  on GW1<br><br>And when we use the options..we have the following iptable rules added on GW1 (thru the updown script automatically whenever the tunnel is UP)<br><br>---------------------------------------------------------------------------------------------------<br>root@lssimgw1:/usr/local/etc# iptables -nvL<br>Chain INPUT (policy ACCEPT 52 packets, 4680 bytes)<br> pkts bytes target     prot opt in     out     source               destination<br>    0     0 ACCEPT     all  --  eth0   *       <a href="http://192.168.22.0/24">192.168.22.0/24</a>      <a href="http://192.168.25.0/24">192.168.25.0/24</a>      policy match dir in pol ipsec reqid 1 proto 50<br><br>Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)<br> pkts bytes target     prot opt in     out     source               destination<br>    0     0 ACCEPT     all  --  eth0   *       <a href="http://192.168.22.0/24">192.168.22.0/24</a>      <a href="http://192.168.25.0/24">192.168.25.0/24</a>      policy match dir in pol ipsec reqid 1 proto 50<br>    0     0 ACCEPT     all  --  *      eth0    <a href="http://192.168.25.0/24">192.168.25.0/24</a>      <a href="http://192.168.22.0/24">192.168.22.0/24</a>      policy match dir out pol ipsec reqid 1 proto 50<br><br>Chain OUTPUT (policy ACCEPT 40 packets, 3976 bytes)<br> pkts bytes target     prot opt in     out     source               destination<br>    0     0 ACCEPT     all  --  *      eth0    <a href="http://192.168.25.0/24">192.168.25.0/24</a>      <a href="http://192.168.22.0/24">192.168.22.0/24</a>      policy match dir out pol ipsec reqid 1 proto 50<br>root@lssimgw1:/usr/local/etc#<br>--------------------------------------------------------------------------------------------------------<br><br></div>- so once we have the above fw rules in place in the INPUT/OUTPUT chain,..we can access the GW1-lan-ip from PC2 via the ipsec tunnel successfully...</div><div>- The similar observation is also made for using the lefthostaccess option on GW2 too..</div><div><br></div><div><br></div><div><br></div>Now if i use "righthostaccess=yes"...i dont see any rules getting added in the INPUT/OUTPUT chain...neither in GW1 or in GW2<br><div><div><br></div><div>- So my query is: whats the use of the option "righthostaccess=yes"...where and when do we use this option?</div><div><br></div><div><br></div><div>thanks & regards</div><div>Rajiv</div><div><br></div><div><br><br></div></div></div>