<p>Hello,<br /><br />I am trying to connect a Linux/Strongswan box to a Cisco router using <br />    - dynamic VTI with IKEv2 on the Cisco (aka flexVPN)<br />    - routed based VPN on the Linux on a tunnel interface named ipsec0 which receives a dynamic virtual address<br /><br />The ipsec tunnel is correctly established and the vips address is correctly assigned by the Cisco, transferred by IKEv2 and assigned to the ipsec0 interface.<br />However only the traffic sourced by the ipsec0 address is routed through the tunnel. All other traffic is filtered out with a "NoRoute" error before entering in the tunnel.<br /><br />As explained in the wiki page https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN, i have :<br />- enabled ip forwarding<br />- disabled the policy rules with sysctl -w net.ipv4.conf.ipsec0.disable_policy=1<br />- disabled the charon route processing.<br /><br />If i use NAT to translate all outgoing traffic to the VIP address, everything is OK, but direct routing does not enter the tunnel.<br /><br />I guess the trouble is that the local selector is the /32 vips address instead of 0.0.0.0/0. <br />I have tried to set local_ts to 0/0, but it is overriden by vips instruction.<br /><br />Can you help me to understand what i have done wrong ?<br />Thanks !<br /><br /><br />----<br />configurations :<br />- Cisco configuration:             https://pastebin.com/z8rjJ1hq<br />- Strongswan configuration (charon.conf and swanctl.conf): https://pastebin.com/WwjYb1uP<br />- tunnel creation and establishment:    https://pastebin.com/GCgzzuXQ<br /><br />troubleshooting:<br />- logs and debug info : https://pastebin.com/j1nFUDa8<br /><br /><br /><br /><br /></p>