<div dir="ltr">Hi Phil/All,<div><br></div><div>Sorry for the mistake - Bad copy/Paste</div><div>Nevertheless, things are not better after fixing the path.</div><div>Indeed, after restarting ipsec, </div><div>  - SSH connection is dropping </div><div>  - No way to resolve any web site</div><div><br></div><div>In the syslog, I've seen the following message</div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><font color="#990000">...</font> </blockquote><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><font color="#990000">charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'<br>charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'<br>charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'<br>charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'<br>charon: 00[CFG]   loaded EAP secret for gprintemps<br>charon: 00[CFG] loaded 0 RADIUS server configurations<br>charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap tnc-tnccs dhcp certexpire radattr addrblock unity counters<br>charon: 00[JOB] spawning 16 worker threads<br>charon: 04[CFG] received stroke: add connection 'VPN'<br>charon: 04[CFG] added configuration 'VPN'<br>charon: 06[CFG] received stroke: route 'VPN'<br>charon: 09[KNL] creating acquire job for policy <a href="http://10.211.55.3/32[udp/40255]">10.211.55.3/32[udp/40255]</a> === <a href="http://10.211.55.1/32[udp/domain]">10.211.55.1/32[udp/domain]</a> with reqid {1}<br>charon: 00[DMN] signal of type SIGINT received. Shutting down<br>charon: 09[IKE] unable to resolve <a href="http://free-nl.hide.me">free-nl.hide.me</a>, initiate aborted<br>charon: 09[MGR] tried to checkin and delete nonexisting IKE_SA<br></font></blockquote></div><div><br></div><div>For information, I can ping easily the host when ipsec is stopped...</div><div><br></div><div>Hereafter my full configuration</div><div><br></div><div>[/etc/ipsec.conf]</div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">conn VPN<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        keyexchange=ike<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        dpdaction=clear<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        dpddelay=300s<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        eap_identity=gprintemps<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        leftupdown=/etc/<a href="http://ipsec.script.sh">ipsec.script.sh</a><br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        leftauth=eap-mschapv2<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        left=%defaultroute<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        leftsourceip=%config<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        right=<a href="http://free-nl.hide.me">free-nl.hide.me</a><br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        rightauth=pubkey<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        rightid=%any<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        type=tunnel<br></font></span><span style="background-color:rgb(255,255,255)"><font color="#3d85c6">        auto=route</font></span></blockquote></div><div><br></div><div>[/etc/<a href="http://ipsec.script.sh">ipsec.script.sh</a>]</div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><font color="#3d85c6">#!/bin/bash</font><font color="#3d85c6"><br></font><font color="#3d85c6">set -o nounset<br></font><font color="#3d85c6">set -o errexit<br></font><font color="#3d85c6">VTI_IF="vti0"</font><font color="#3d85c6"><br></font><font color="#3d85c6">case "${PLUTO_VERB}" in<br></font><font color="#3d85c6">    up-client)<br></font><font color="#3d85c6">        ip tunnel add "${VTI_IF}" local "${PLUTO_ME}" remote "${PLUTO_PEER}" mode vti \<br></font><font color="#3d85c6">                      okey "${PLUTO_MARK_OUT%%/*}" ikey "${PLUTO_MARK_IN%%/*}"<br></font><font color="#3d85c6">        ip link set "${VTI_IF}" up<br></font><font color="#3d85c6">        sysctl -w "net.ipv4.conf.${VTI_IF}.disable_policy=1"<br></font><font color="#3d85c6">        ;;<br></font><font color="#3d85c6">    down-client)<br></font><font color="#3d85c6">        ip tunnel del "${VTI_IF}"<br></font><font color="#3d85c6">        ;;<br></font><font color="#3d85c6">esac</font></blockquote></div><div><br></div><div>I already prepared the next step (after fixing the current issue), I've created the following script</div><div><br></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><font color="#3d85c6">#! /bin/bash</font><font color="#3d85c6"><br></font><font color="#3d85c6">export TABLE_ID="vpn"<br></font><font color="#3d85c6">export VPN_USER="vpn"<br></font><font color="#3d85c6">export VPN_INTERFACE="vti0"<br></font><font color="#3d85c6">export LAN="<a href="http://10.211.55.0/24">10.211.55.0/24</a>"</font><font color="#3d85c6"><br></font><font color="#3d85c6"><br></font><font color="#3d85c6"># Flush iptables rules<br></font><font color="#3d85c6">iptables -F -t nat<br></font><font color="#3d85c6">iptables -F -t mangle<br></font><font color="#3d85c6">iptables -F -t filter</font><font color="#3d85c6"><br></font><font color="#3d85c6"># Mark packets from $VPN_USER<br></font><font color="#3d85c6">iptables -t mangle -A OUTPUT ! --dest $LAN  -m owner --uid-owner $VPN_USER -j MARK --set-mark 0x1<br></font><font color="#3d85c6">iptables -t mangle -A OUTPUT ! --src $LAN -j MARK --set-mark 0x1</font><font color="#3d85c6"><br></font><font color="#3d85c6"># Deny $VPN_USER to access other interfaces than lo<br></font><font color="#3d85c6">iptables -A OUTPUT ! -o lo -m owner --uid-owner $VPN_USER -J DROP</font><font color="#3d85c6"><br></font><font color="#3d85c6"># Allow $VPN_USER to access lo and VPN interfaces<br></font><font color="#3d85c6">iptables -A OUTPUT -o lo -m owner --uid-owner $VPN_USER -j ACCEPT<br></font><font color="#3d85c6">iptables -A OUTPUT -o $VPN_INTERFACE -m owner --uid-owner $VPN_USER -j ACCEPT</font><font color="#3d85c6"><br></font><font color="#3d85c6"><br></font><font color="#3d85c6"># Allow response from $VPN_INTERFACE<br></font><font color="#3d85c6">iptables -A INPUT -i $VPN_INTERFACE -m conntrack --ctstate ESTABLISHED -j ACCEPT</font><font color="#3d85c6"><br></font><font color="#3d85c6"># Masquarade packets on $VPN_INTERFACE<br></font><font color="#3d85c6">iptables -t nat -A POSTROUTING -o $VPN_INTERFACE -j MASQUERADE</font><font color="#3d85c6"><br></font><font color="#3d85c6"><br></font><font color="#3d85c6"># Routing rules<br></font><font color="#3d85c6">ip route replace default via $GATEWAY table $TABLE_ID<br></font><font color="#3d85c6">ip route append default via 127.0.0.1 dev lo table $TABLE_ID<br></font><font color="#3d85c6">ip route flush cache</font></blockquote></div><div><br></div><div>Purpose to is mark all packets from VPN_USER and to redirect them to the ipsec interface created by the the configuration</div><div>I'm planning to do it with the following command:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex"><font color="#3d85c6">ip rule add from all fwmark 0x1 lookup vpn</font></blockquote><div><br></div><div>Best Regards,</div><div>Gilles</div><br class="gmail-Apple-interchange-newline" style="color:rgb(0,0,0);font-family:-webkit-standard"></div>