<div dir="ltr">Hi Brian,<div><br></div><div>Your traffic selectors look strange, left implies the source IP XFRM will see and right implies the destination IP XFRM will see in order to know if it has to transform and encrypt that IP packet.</div><div><br></div><div>Can you tell us the existing subnets in both sites?</div><div>Site 1 with static IP has x.x.x.x subnet</div><div>Site 2 with dynamic IP has x.x.x.x subnet</div><div><br></div><div>Also, what are those two /30 networks for? is that needed to go inside the tunnel as well?</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 28, 2019 at 5:10 AM Brian Topping <<a href="mailto:brian.topping@gmail.com">brian.topping@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">> VTI devices won't change anything.  You can't use transport mode with<br>
> any IPs other than those of the endpoints (i.e. it doesn't work with<br>
> virtual IPs or arbitrary subnets - you have to use tunnel mode for that).<br>
<br>
Got it, thanks Tobias. But the logs say `06[IKE] not using transport mode, not host-to-host` and the SADB modes are all `tunnel`, so the stack appears to have made up for my error. <br>
<br>
Or has it?<br>
</blockquote></div>