<div dir="ltr">Hi,<div><br></div><div>We are facing a strange issue where if a packet is re-marked by iptables Strongswan doesn't allow it to go out to the tunnel.</div><div><br></div><div>example:</div><div>myvpn1 (site to site)</div><div>mark_in = 1</div><div>mark_out = 1</div><div>local_ts = <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>remote_ts = <a href="http://10.0.0.0/8">10.0.0.0/8</a></div><div><br></div><div>myvpn2 (site to site)</div><div>mark_in = 2</div><div>mark_out = 2</div><div>local_ts=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>remote_ts=<a href="http://172.16.0.0/24">172.16.0.0/24</a></div><div><br></div><div>The traffic is to be forwarded between myvpn1 and myvpn2: Src 10.0.0.1 dst 172.16.0.1</div><div>We mark the traffic coming from myvpn1 with :</div><div>iptables -t mangle -I PREROUTING -s a.a.a.a/32 -j MARK --set-xmark 1</div><div>a.a.a.a is the public IP of myvpn1.</div><div><br></div><div>That way we satisfy the condition of mark_in for myvpn1.</div><div>We see the packet coming in as the 'in' counter increases and TCPdump shows the decapsulated packet.</div><div><br></div><div>We have this other rule in iptables:</div><div>iptables -t mangle -I POSTROUTING -d <a href="http://172.16.0.0/24">172.16.0.0/24</a> -j MARK --set-xmark 2</div><div>With this we mark all traffic destined to <a href="http://172.16.0.0/24">172.16.0.0/24</a> with a mark of 2.</div><div><br></div><div>The problem is that the packets remarked from 1 to 2 are not going through the tunnel at all, the 'out' counter of myvpn2 doesn't increase.</div><div><br></div><div>We do see the packet being correctly remarked to '2' using Iptables trace in the raw table.  <br></div><div><br></div><div>If we change mark_out to 1 in myvpn2 and remove the set-xmark 2 from iptables it works fine and the packet gets forwarded.</div><div><br></div><div>Any idea what could be the trouble in here?</div><div><br></div><div>Thanks,</div></div>