<div dir="ltr"><div class="gmail_default" style="color:#274e13">Hi, I'm trying to learn StrongSwan</div><div class="gmail_default" style="color:#274e13"><br></div><div class="gmail_default" style="color:#274e13">I have two VPS, <a href="http://quan.hoabinh.vn">quan.hoabinh.vn</a> (103.92.28.225) and <a href="http://parking.nanochip.io">parking.nanochip.io</a> (104.248.153.183) where I want to establish a site-to-site tunnel like this diagram:</div><div class="gmail_default" style="color:#274e13"><br></div><div class="gmail_default" style="color:#274e13"><span style="font-family:monospace"><a href="http://192.168.12.0/24">192.168.12.0/24</a> -- | 103.92.28.225 | === | 104.248.153.183 | -- <a href="http://192.168.18.0/24">192.168.18.0/24</a><br>  moon-net               moon                    sun               sun-net</span><br></div><div class="gmail_default" style="color:#274e13"><br></div><div class="gmail_default" style="color:#274e13">Under each server is a LAN network built by WireGuard (<a href="http://192.168.12.0/24">192.168.12.0/24</a> and <a href="http://192.168.18.0/24">192.168.18.0/24</a>).</div><div class="gmail_default" style="color:#274e13"><br></div><div class="gmail_default" style="color:#274e13">This is the config on Moon server:</div><div class="gmail_default" style="color:#274e13"><br></div><div class="gmail_default" style="color:#274e13"><span style="font-family:monospace"># File: /etc/swanctl/conf.d/moon.conf<br>connections {<br>        net-net {<br>                remote_addrs = 104.248.153.183<br>                local {<br>                        auth = pubkey<br>                        certs = fullchain.pem<br>                }<br>                remote {<br>                        auth = pubkey<br>                }<br>                children {<br>                        net-net {<br>                                local_ts = <a href="http://192.168.12.0/24">192.168.12.0/24</a><br>                                remote_ts = <a href="http://192.168.18.0/24">192.168.18.0/24</a><br>                                updown = /usr/lib/ipsec/_updown iptables<br>                                start_action = trap<br>                        }<br>                }<br>        }<br>}</span><br></div><div class="gmail_default" style="color:#274e13"><br></div><div><div style="color:rgb(39,78,19)" class="gmail_default">And config on Sun server:</div><div style="color:rgb(39,78,19)" class="gmail_default"><br></div><div style="color:rgb(39,78,19)" class="gmail_default"><span style="font-family:monospace"># File: /etc/swanctl/conf.d/sun.conf<br>connections {<br>        net-net {<br>                remote_addrs = 103.92.28.225<br>                local {<br>                        auth = pubkey<br>                        certs = fullchain.pem<br>                }<br>                remote {<br>                        auth = pubkey<br>                }<br>                children {<br>                        net-net {<br>                                local_ts = <a href="http://192.168.18.0/24">192.168.18.0/24</a><br>                                remote_ts = <a href="http://192.168.12.0/24">192.168.12.0/24</a><br>                                updown = /usr/lib/ipsec/_updown iptables<br>                                start_action = trap<br>                        }<br>                }<br>        }<br>}</span><br></div><div style="color:rgb(39,78,19)" class="gmail_default">The certificates are supplied by Let's Encrypt SSL.</div><div style="color:rgb(39,78,19)" class="gmail_default"><br></div><div style="color:rgb(39,78,19)" class="gmail_default">The tunnel seems to be established successfully, but from Moon server, I cannot ping 192.168.18.1, which is Sun's IP address in WireGuard VPN (no response).</div><div style="color:rgb(39,78,19)" class="gmail_default"><br></div><div style="color:rgb(39,78,19)" class="gmail_default">This is the log, observed on Sun server (target of ping): <br></div><div style="color:rgb(39,78,19)" class="gmail_default"><br></div><div style="color:rgb(39,78,19)" class="gmail_default"><a href="https://paste.ubuntu.com/p/j7HBMh2r8Y/">https://paste.ubuntu.com/p/j7HBMh2r8Y/</a></div></div><div><br></div><div><div style="color:rgb(39,78,19)" class="gmail_default">iptables rules on Moon server:</div><div style="color:rgb(39,78,19)" class="gmail_default"><br></div><div style="color:rgb(39,78,19)" class="gmail_default"><span style="font-family:monospace">$ sudo iptables -S -t nat<br>[sudo] password for quan: <br>-P PREROUTING ACCEPT<br>-P INPUT ACCEPT<br>-P OUTPUT ACCEPT<br>-P POSTROUTING ACCEPT<br>-A POSTROUTING -o ens18 -j MASQUERADE<br></span></div><div style="color:rgb(39,78,19)" class="gmail_default"><span style="font-family:monospace"><br></span></div><div style="color:rgb(39,78,19)" class="gmail_default"><span style="font-family:monospace">$ sudo iptables -S<br>-P INPUT ACCEPT<br>-P FORWARD ACCEPT<br>-P OUTPUT ACCEPT<br>-A FORWARD -s <a href="http://192.168.18.0/24">192.168.18.0/24</a> -d <a href="http://192.168.12.0/24">192.168.12.0/24</a> -i ens18 -m policy --dir in --pol ipsec --reqid 1 --proto esp -j ACCEPT<br>-A FORWARD -s <a href="http://192.168.12.0/24">192.168.12.0/24</a> -d <a href="http://192.168.18.0/24">192.168.18.0/24</a> -o ens18 -m policy --dir out --pol ipsec --reqid 1 --proto esp -j ACCEPT<br>-A FORWARD -i wg0 -j ACCEPT</span><br></div><div style="color:rgb(39,78,19)" class="gmail_default">Please help to make ping work.</div><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><span style="font-family:courier new,monospace">Quân<br></span></div><div><span style="font-family:courier new,monospace"><br><span style="font-family:monospace,monospace">Nguyễn Hồng Quân<br>☎ 093 9030 338<br>Facebook: ng.hong.quan<br></span></span></div><span style="font-family:monospace,monospace">🌏 <a href="http://quan.hoabinh.vn" target="_blank">quan.hoabinh.vn</a>  <a href="http://agriconnect.vn" target="_blank">agriconnect.vn</a><br></span><div><span style="font-family:courier new,monospace"><br></span></div></div></div></div></div></div></div></div></div></div></div></div>