<div dir="ltr">Thanks Tobias,<div><br></div><div>I changed the marking for the connections to be unique and changed also added mark_in.</div><div>Now i see that ssh issue is also resolved , but need to get the return tarffic routed to vti interface based on the marking.</div><div><br></div><div>Regards,</div><div>Naveen</div><div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 2, 2018 at 12:54 AM, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Naveen,<br>
<span class=""><br>
> 1) The second connection with the below configuration fails .<br>
<br>
</span>The log message tells you why.  The policies of the two connections<br>
conflict.  While you don't get that error message with newer strongSwan<br>
releases (>= 5.3.0) it would not work properly as you'd still have two<br>
connections using the same policies.<br>
<br>
>         mark_out=32<br>
<br>
Why did you only set mark_out?  As you can see in the log this causes<br>
conflicts for the in/fwd policies:<br>
<span class=""><br>
> unable to install policy <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> === <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> in for reqid 2, the same policy for reqid 1 exists<br>
> unable to install policy <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> === <a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a> fwd for reqid 2, the same policy for reqid 1 exists<br>
<br>
<br>
</span><span class="">> 2)  I intend to use marking as selector using VTI interface , i see that<br>
> the packet gets encrypted and leave the machine, however my intention is<br>
> identify return traffic after decryption to be marked with the same<br>
> marking, so that i can route based on the marked packet to a specific<br>
> interface, but i see that the inbound SA does not have the mark and the<br>
> policy drops the return traffic . <br>
<br>
</span>There are two aspects to this: 1) if you don't set mark_in (or just<br>
mark) how do you expect marks to be on the inbound policies and SAs?<br>
2) with recent releases (>= 5.5.2) no mark is actually set on the<br>
inbound SA (unless explicitly requested, which is possible since 5.6.1<br>
via swanctl.conf), but only on the inbound policies, specifically to<br>
allow marking packets after decryption.<br>
<span class=""><br>
> How can i get the return traffic to be marked so that there is no policy<br>
> mismatch. <br>
<br>
</span>Mark the traffic via iptables (before or after decryption).<br>
<span class=""><br>
> 3) When i bring up the tunnel with the leftsubnet any and rightsubnet<br>
> any , i lose ssh access, i have disabled route install from strongswan<br>
> configuration file . <br>
<br>
</span>Configure passthrough/bypass policies to allow SSH traffic, or set marks<br>
on policies/SAs so only marked packets are processed.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div><br></div></div>