<div><div dir="auto">thank you for the replies.  i am told the opnsense fork of pfsense runs a hardened version of freebsd rather than openbsd.</div></div><div dir="auto"><br></div><div dir="auto">i think their support for ike v2 is relatively recent. i will try this again to see if i can get the routing correct.</div><div><br><div class="gmail_quote"><div dir="ltr">On Wed, Sep 12, 2018 at 4:43 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Andrew,<br>
<br>
> On BSD, a route based VPN has to be used, because it has no policy based implementation (as far as I know).<br>
<br>
At least on FreeBSD that's not the case, i.e. it has policies just like<br>
other IPsec implementations (including socket policies to whitelist the<br>
IKE sockets). But for virtual IPs a TUN device and routes to it are<br>
necessary (so the source IP matches the policies, not to replace them).<br>
But this won't work if the remote TS includes the IKE peer as that would<br>
route IKE packets incorrectly.  While this is mainly an issue if virtual<br>
IPs are used, that exception is currently not handled that specifically.<br>
 However, the failure to install a route is not fatal (the result is<br>
basically ignored) so if the routing is already setup properly this<br>
shouldn't really be an issue as long as no virtual IPs are used.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div></div>