<div dir="ltr">Tobias,<div><br></div><div>To follow up from my previous emails, I think I have a handle on what's happening. As soon as the VPN injects the route for the networks on the other end (in my case 0.0.0.0), that's when my second factor auth breaks. At that point the IP of the client (my phone) changes to the egress IP on my VPN. The Authenticator app still tries to send traffic to he old IP, and due to the injected route, that fails. Even if I exclude the app from the VPN, it still has to follow the routing table, correct? There aren't separate tables for the VPN and things excluded, right?</div><div><br></div><div>So my question to you is why is the route being injected BEFORE the tunnel is fully authenticated? Should this not happen at the end?</div><div><br></div><div>Thanks,</div><div>Chris.  </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 14, 2019 at 5:11 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Chris,<br>
<br>
> So it<br>
> almost seems like the StrongSwan client is blocking traffic while the<br>
> VPN connection is being built (after phase 1).<br>
<br>
It does.  If there is an app or IP address that should bypass the VPN,<br>
configure it in the advanced VPN profile settings.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>