<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Wingdings;

        panose-1:5 0 0 0 0 0 0 0 0 0;}

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph

        {mso-style-priority:34;

        margin-top:0cm;

        margin-right:0cm;

        margin-bottom:0cm;

        margin-left:36.0pt;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

p.msonormal0, li.msonormal0, div.msonormal0

        {mso-style-name:msonormal;

        mso-margin-top-alt:auto;

        margin-right:0cm;

        mso-margin-bottom-alt:auto;

        margin-left:0cm;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

span.E-MailFormatvorlage20

        {mso-style-type:personal;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

span.E-MailFormatvorlage21

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-size:10.0pt;}

@page WordSection1

        {size:612.0pt 792.0pt;

        margin:70.85pt 70.85pt 2.0cm 70.85pt;}

div.WordSection1

        {page:WordSection1;}

/* List Definitions */

@list l0

        {mso-list-id:1726490436;

        mso-list-type:hybrid;

        mso-list-template-ids:-1691585918 -324106816 67567619 67567621 67567617 67567619 67567621 67567617 67567619 67567621;}

@list l0:level1

        {mso-level-start-at:0;

        mso-level-number-format:bullet;

        mso-level-text:-;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:"Calibri",sans-serif;

        mso-fareast-font-family:Calibri;}

@list l0:level2

        {mso-level-number-format:bullet;

        mso-level-text:o;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:"Courier New";}

@list l0:level3

        {mso-level-number-format:bullet;

        mso-level-text:\F0A7;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:Wingdings;}

@list l0:level4

        {mso-level-number-format:bullet;

        mso-level-text:\F0B7;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:Symbol;}

@list l0:level5

        {mso-level-number-format:bullet;

        mso-level-text:o;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:"Courier New";}

@list l0:level6

        {mso-level-number-format:bullet;

        mso-level-text:\F0A7;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:Wingdings;}

@list l0:level7

        {mso-level-number-format:bullet;

        mso-level-text:\F0B7;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:Symbol;}

@list l0:level8

        {mso-level-number-format:bullet;

        mso-level-text:o;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:"Courier New";}

@list l0:level9

        {mso-level-number-format:bullet;

        mso-level-text:\F0A7;

        mso-level-tab-stop:none;

        mso-level-number-position:left;

        text-indent:-18.0pt;

        font-family:Wingdings;}

ol

        {margin-bottom:0cm;}

ul

        {margin-bottom:0cm;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="DE" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Hello Noel and list,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">yes I’ll try to provide all informations.<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Problem: IPv6 tunnel and IPv4 traffic – no routing entries and no ping LAN<->LAN possible<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Setup: Linux with strongSwan 5.8.0 , site-2-site VPN to another strongSwan 5.8.0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Config below: <o:p>

</o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">eth0 = Interface with IPv6 for tunnel connection<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">eth2 = LAN <o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">daemon start:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.8.0, Linux 4.4.0-142-generic, i686)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan kernel: [  209.226536] Initializing XFRM netlink socket<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[LIB] loaded plugins: charon rc2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf xcbc cmac

 attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-mschapv2 dhcp counters<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:14 strongswan charon: 00[JOB] spawning 16 worker threads<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:18 strongswan charon: 10[CFG] loaded IKE shared key with id 'ike1' for: 'vpnserver1', 'digibox1'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:18 strongswan charon: 04[CFG] added vici connection: conn1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:32 strongswan charon: 00[DMN] signal of type SIGINT received. Shutting down<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.8.0, Linux 4.4.0-142-generic, i686)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[CFG] loading ca certificates from '/usr/local/etc/ipsec.d/cacerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[CFG] loading aa certificates from '/usr/local/etc/ipsec.d/aacerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[CFG] loading ocsp signer certificates from '/usr/local/etc/ipsec.d/ocspcerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[CFG] loading attribute certificates from '/usr/local/etc/ipsec.d/acerts'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[CFG] loading crls from '/usr/local/etc/ipsec.d/crls'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[CFG] loading secrets from '/usr/local/etc/ipsec.secrets'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[LIB] loaded plugins: charon rc2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf xcbc cmac

 attr kernel-netlink resolve socket-default farp stroke vici updown eap-identity eap-md5 eap-mschapv2 dhcp counters<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:36 strongswan charon: 00[JOB] spawning 16 worker threads<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:42 strongswan charon: 07[CFG] loaded IKE shared key with id 'ike1' for: 'vpnserver1', 'digibox1'<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Jan 29 13:17:42 strongswan charon: 11[CFG] added vici connection: conn1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Connection up:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">root@strongswan:/home/rudt/projects/vpn-server# swanctl -i --ike conn1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] initiating IKE_SA conn1[1] to 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[NET] sending packet: from 2003:a:769:4100:1::200[500] to 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[500] (750 bytes)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[NET] received packet: from 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[500] to 2003:a:769:4100:1::200[500] (38 bytes)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[ENC] parsed IKE_SA_INIT response 0 [ N(INVAL_KE) ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] peer didn't accept DH group ECP_256, it requested MODP_2048<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] initiating IKE_SA conn1[1] to 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[NET] sending packet: from 2003:a:769:4100:1::200[500] to 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[500] (942 bytes)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[NET] received packet: from 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[500] to 2003:a:769:4100:1::200[500] (462 bytes)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[ENC] parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(CHDLESS_SUP) N(MULT_AUTH) ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[CFG] selected proposal: IKE:AES_GCM_16_128/PRF_AES128_XCBC/MODP_2048<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] authentication of 'vpnserver1' (myself) with pre-shared key<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[ENC] generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[NET] sending packet: from 2003:a:769:4100:1::200[500] to 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[500] (147 bytes)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[NET] received packet: from 2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[500] to 2003:a:769:4100:1::200[500] (97 bytes)<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[ENC] parsed IKE_AUTH response 1 [ IDr AUTH ]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] authentication of 'digibox1' with pre-shared key successful<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] IKE_SA conn1[1] established between 2003:a:769:4100:1::200[vpnserver1]...2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[digibox1]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] scheduling reauthentication in 9940s<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">[IKE] maximum IKE_SA lifetime 11020s<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">initiate completed successfully<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">VPN config:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">connections {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">   conn1 {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      local_addrs  = %any<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      remote_addrs = <IPv6_DYNDNS_NAME><o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      local {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">         auth = psk<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">         id = vpnserver1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      }<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      remote {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">         auth = psk<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">         id = digibox1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      }<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      children {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">         child1 {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">            local_ts  = 10.10.10.0/24<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">            remote_ts = 192.168.2.0/24<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">            updown = /usr/libexec/ipsec/_updown iptables<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">            rekey_time = 5400<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">            rekey_bytes = 500000000<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">            rekey_packets = 1000000<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">         }<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      }<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      version = 2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      mobike = no<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      reauth_time = 10800<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">   }<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">}<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">secrets {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">   ike1 {<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      id1 = vpnserver1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      id2 = digibox1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      secret = <PASSWORD><o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">   }<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">}<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Status:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Status of IKE charon daemon (strongSwan 5.8.0, Linux 4.4.0-142-generic, i686):<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  uptime: 12 minutes, since Jan 29 13:17:35 2020<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  malloc: sbrk 1208320, mmap 0, used 180120, free 1028200<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  loaded plugins: charon rc2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf xcbc cmac attr kernel-netlink resolve socket-default

 farp stroke vici updown eap-identity eap-md5 eap-mschapv2 dhcp counters<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Listening IP addresses:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  192.168.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  2003:a:769:4100:1::200<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">  10.10.10.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Connections:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       conn1:  %any...dbzyvpnt1.dynv6.net  IKEv2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       conn1:   local:  [vpnserver1] uses pre-shared key authentication<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       conn1:   remote: [digibox1] uses pre-shared key authentication<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">      child1:   child:  10.10.10.0/24 === 192.168.2.0/24 TUNNEL<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Security Associations (1 up, 0 connecting):<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       conn1[1]: ESTABLISHED 9 minutes ago, 2003:a:769:4100:1::200[vpnserver1]...2003:ec:efff:c93:5ee2:8cff:fe9b:c4c0[digibox1]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       conn1[1]: IKEv2 SPIs: 7166966c8917ccac_i* 9ef970b95e825009_r, pre-shared key reauthentication in 2 hours<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       conn1[1]: IKE proposal: AES_GCM_16_128/PRF_AES128_XCBC/MODP_2048<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Firewall:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"># Generated by iptables-save v1.4.21 on Wed Jan 29 13:34:58 2020<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">*filter<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">:INPUT ACCEPT [7:633]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">:FORWARD ACCEPT [0:0]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">:OUTPUT ACCEPT [4:544]<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">COMMIT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"># Completed on Wed Jan 29 13:34:58 2020<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Ip6tables-save no output, but there is also all flushed and all policies ACCEPT<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Routing:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">default via 192.168.0.240 dev eth0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">10.10.10.0/24 dev eth2  proto kernel  scope link  src 10.10.10.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">broadcast 10.10.10.0 dev eth2  table local  proto kernel  scope link  src 10.10.10.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local 10.10.10.1 dev eth2  table local  proto kernel  scope host  src 10.10.10.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">broadcast 10.10.10.255 dev eth2  table local  proto kernel  scope link  src 10.10.10.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">broadcast 192.168.0.0 dev eth0  table local  proto kernel  scope link  src 192.168.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local 192.168.0.1 dev eth0  table local  proto kernel  scope host  src 192.168.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">broadcast 192.168.0.255 dev eth0  table local  proto kernel  scope link  src 192.168.0.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">2003:a:769:4100:1::200 dev eth0  proto kernel  metric 256<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">2003:a:769:4100::/56 dev eth0  proto kernel  metric 256  expires 2591939sec<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">fe80::/64 dev eth0  proto kernel  metric 256<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">fe80::/64 dev eth2  proto kernel  metric 256<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">default via 2003:a:769:4100:1::240 dev eth0  metric 1024<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">default via fe80::178:1 dev eth0  proto ra  metric 1024  expires 1739sec hoplimit 64<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local ::1 dev lo  table local  proto none  metric 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local 2003:a:769:4100:1::200 dev lo  table local  proto none  metric 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local fe80::a00:27ff:fe15:5da0 dev lo  table local  proto none  metric 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">local fe80::a00:27ff:fef0:ec33 dev lo  table local  proto none  metric 0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">ff00::/8 dev eth0  table local  metric 256<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">ff00::/8 dev eth2  table local  metric 256<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">unreachable default dev lo  table unspec  proto kernel  metric 4294967295  error -101<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">IP addresses:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet 127.0.0.1/8 scope host lo<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet6 ::1/128 scope host<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    link/ether 08:00:27:f0:ec:33 brd ff:ff:ff:ff:ff:ff<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet 192.168.0.1/24 brd 192.168.0.255 scope global eth0<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet6 2003:a:769:4100:1::200/128 scope global<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet6 fe80::a00:27ff:fef0:ec33/64 scope link<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">3: eth1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    link/ether 08:00:27:ec:04:ec brd ff:ff:ff:ff:ff:ff<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">4: eth2: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    link/ether 08:00:27:15:5d:a0 brd ff:ff:ff:ff:ff:ff<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet 10.10.10.1/24 brd 10.10.10.255 scope global eth2<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">    inet6 fe80::a00:27ff:fe15:5da0/64 scope link<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">       valid_lft forever preferred_lft forever<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Test:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">ping 192.168.2.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Result:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">tcpdump -i eth0 host 192.168.2.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">13:40:25.989010 IP 192.168.0.1 > 192.168.2.1: ICMP echo request, id 1382, seq 31, length 64<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Test:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">ping -s 10.10.10.1 192.168.2.1<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Result:<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Same as above<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Expected result:<o:p></o:p></span></p>

<ul style="margin-top:0cm" type="disc">

<li class="MsoListParagraph" style="margin-left:0cm;mso-list:l0 level1 lfo1"><span style="mso-fareast-language:EN-US">at least one routing entry in table 220<o:p></o:p></span></li><li class="MsoListParagraph" style="margin-left:0cm;mso-list:l0 level1 lfo1"><span style="mso-fareast-language:EN-US">IPv6 ESP packets going out, not unencrypted traffic<o:p></o:p></span></li></ul>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Please, any hint/help what is wrong ?<br>

<br>

<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Regards,<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US">Thomas<o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p></o:p></span></p>

<p class="MsoNormal"><span style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>

<div>

<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">

<p class="MsoNormal"><b>Von:</b> Noel Kuntze <noel.kuntze+strongswan-users-ml@thermi.consulting>

<br>

<b>Gesendet:</b> Mittwoch, 29. Januar 2020 11:22<br>

<b>An:</b> Thomas Rudolph <rudt@teleconnect.de>; users@lists.strongswan.org<br>

<b>Betreff:</b> Re: [strongSwan] IPv6 tunnel and IPv4 traffic: no routing entries in table 220 ?<o:p></o:p></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p>Hello Thomas, <o:p></o:p></p>

<p>Routes are added when traffic needs to be sent to another destination than the main routing table or existing routes in table 220 do. It's all in C code.<o:p></o:p></p>

<p>Please provide all information as shown on he HelpRequests page on the wiki if you want any actionable advice.

<o:p></o:p></p>

<p>Kind regards <o:p></o:p></p>

<p>Noel <o:p></o:p></p>

<p>Am 29.01.20 um 11:18 schrieb Thomas Rudolph: <br>

> Hello, <br>

> <br>

>   <br>

> <br>

> I wonder how the routing entries are written to table 220, and which are neccesary. Is there any place , like _updown for firewall rules, where I can see how and what is done ?<o:p></o:p></p>

<p>> <br>

>   <br>

> <br>

> My problem: <br>

> <br>

>   <br>

> <br>

> If I use IPv4 tunnel and traffic, it’s all ok, rules in table 220 appear and VPN works from LAN to LAN.

<br>

> <br>

> If I use IPv6 tunnel and IPv4 traffic, nothing appears in table 220. What can be the reason for such behavior ?

<br>

> <br>

>   <br>

> <br>

> And, I was not able to find myself a rule that works, I tried to add to table 220 rules like

<br>

> <br>

>   <br>

> <br>

> ip route add 192.168.2.0/24 proto static scope global dev eth0 src 192.168.0.1 table 220

<br>

> <br>

>   <br>

> <br>

> with REMOTE_LAN_NET  src LOCAL_LAN_ADDRESS <br>

> <br>

>   <br>

> <br>

> (derived from strongSwan example <a href="https://www.strongswan.org/testing/testresults/ipv6/net2net-ip4-in-ip6-ikev2/">

https://www.strongswan.org/testing/testresults/ipv6/net2net-ip4-in-ip6-ikev2/</a> )

<br>

> <br>

>   <br>

> <br>

>   <br>

> <br>

> but it dont’t work. VPN connection is up, but no ping from LAN to LAN, it seems the traffic is not thrown into tunnel (policy based VPN).<o:p></o:p></p>

<p>> <br>

>   <br>

> <br>

>   <br>

> <br>

> ? <br>

> <br>

>   <br>

> <br>

> Can anyone please give a hint ? <br>

> <br>

>   <br>

> <br>

>   <br>

> <br>

> Regards, <br>

> <br>

>   <br>

> <br>

> Thomas <br>

<br>

<o:p></o:p></p>

<p class="MsoNormal" style="margin-bottom:12.0pt"><o:p> </o:p></p>

</div>

</body>

</html>