<div dir="auto">You can extract the env variables information by using the "set" command, use a temporary updown script that has the following "set > /tmp/output", after establishing the connection, check that output file both in initiator and responder and see if the values are as expected, if they are, try to reproduce the script by typing each command one by one in the console and see its behavior.<div dir="auto"><br></div><div dir="auto">Remember to disable the updown script in strongswan when running it manually. </div><div dir="auto"><br></div><div dir="auto">Sent from mobile. </div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sat, Mar 2, 2019, 2:22 AM Brian Topping <<a href="mailto:brian.topping@gmail.com">brian.topping@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word;line-break:after-white-space">Hi Felipe,<div><br></div><div>That use of `left|rightsubnet` was a huge help.</div><div><br></div><div>In an effort to automate the address assignment for a larger network (same theme as the OSPF), I’ve been using the `leftupdown` script in <a href="https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN#Connection-specific-VTI-Devices" target="_blank" rel="noreferrer">https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN#Connection-specific-VTI-Devices</a>. </div><div><br></div><div>So I’ve updated it as shown:</div><div><br></div><div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div>=============================</div><div><div>Dynamic:</div><div>conn site-2-dynamic-ip</div></div></div></div></blockquote><span class="m_6784992401950315231Apple-tab-span" style="white-space:pre-wrap"> </span>   mark=%unique<br><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div><div><span style="white-space:pre-wrap"> </span>left=%defaultroute</div></div></div></div></blockquote>           leftsourceip=%config4<br><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div><div><span style="white-space:pre-wrap">       </span>leftsubnet=<a href="http://10.10.0.0/22,10.9.255.252/30" target="_blank" rel="noreferrer">10.10.0.0/22,10.9.255.252/30</a></div><div><span style="white-space:pre-wrap">     </span>leftfirewall=no</div></div></div></div></blockquote>           leftupdown=/etc/strongswan.d/ipsec-vti.sh</div><div>           right=st.at.ic.ip</div><div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div><div><span style="white-space:pre-wrap">        </span>rightsubnet=<a href="http://10.10.4.0/22,10.9.255.252/30" target="_blank" rel="noreferrer">10.10.4.0/22,10.9.255.252/30</a></div><div><span style="white-space:pre-wrap">    </span>rightid=%<a href="http://specific.example.com/" target="_blank" rel="noreferrer">specific.example.com</a></div><div><span style="white-space:pre-wrap">      </span>auto=add</div><div><br></div><div>Static:</div><div>conn site-1-static-ip</div></div></div></div></blockquote>           mark=%unique<br><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div><div><span style="white-space:pre-wrap">       </span>left=st.at.ic.ip</div><div><span style="white-space:pre-wrap"> </span>leftsubnet=<a href="http://10.10.4.0/22,10.9.255.252/30" target="_blank" rel="noreferrer">10.10.4.0/22,10.9.255.252/30</a></div><div><span style="white-space:pre-wrap">     </span>leftid=%<a href="http://specific.example.com/" target="_blank" rel="noreferrer">specific.example.com</a></div><div><span style="white-space:pre-wrap">       </span>leftfirewall=no</div></div></div></div></blockquote><div>           leftsourceip=10.9.255.253 </div><div>           leftupdown=/etc/strongswan/ipsec-vti.sh</div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div><div><span style="white-space:pre-wrap">        </span>right=%any</div></div></div></div></blockquote>           rightsourceip=10.9.255.254<br><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div><div><span style="white-space:pre-wrap">  </span>rightsubnet=<a href="http://10.10.0.0/22,10.9.255.252/30" target="_blank" rel="noreferrer">10.10.0.0/22,10.9.255.252/30</a></div><div><span style="white-space:pre-wrap">    </span>auto=add</div></div><div>===============================</div></div></div></blockquote><div><div dir="ltr"><div dir="ltr"><div><br></div><div>With this configuration, I get full SA and IKE negotiation including TS and dynamic side tunnel configuration:</div><div><br></div><div><blockquote type="cite"><div>root@dynamic:/# ip a show vti1</div><div>49: vti1@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1472 qdisc noqueue state UNKNOWN group default qlen 1000</div><div>    link/ipip dy.na.mi.cip peer st.at.ic.ip</div></blockquote><blockquote type="cite"><div>    inet <a href="http://10.9.255.254/32" target="_blank" rel="noreferrer">10.9.255.254/32</a> scope global vti1</div><div>       valid_lft forever preferred_lft forever</div></blockquote><div><div><br></div></div></div><div>On the static side, I get an error from the script:</div><div><blockquote type="cite">04[CHD] updown: /etc/strongswan/ipsec-vti.sh: line 15: PLUTO_MY_SOURCEIP: unbound variable</blockquote><br></div><div>I initially had the same problem on the dynamic side, but the addition of `leftsourceip=%config4` and `rightsourceip` on the static side resolved that.</div><div><br></div><div>Is there something I am missing to avoid the "PLUTO_MY_SOURCEIP: unbound variable” problem?</div><div><br></div><div>Thanks so much for your insight!</div></div></div></div></div></div></blockquote></div>