<div dir="ltr">Hi,<br><br>The only allowed source address in your tunnel is your VIP address received from the Cisco device (<a href="http://172.30.0.16/32">172.30.0.16/32</a>)<br><br>If you need to allow access from network <a href="http://10.216.1.0/30">10.216.1.0/30</a> then SNAT it at POSTROUTING chain to your VIP address.<br><font face="monospace">iptables -t nat -I POSTROUTING -s <a href="http://10.216.1.0/30">10.216.1.0/30</a> -j SNAT --to-source 172.30.0.16</font><br></div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Feb 14, 2020 at 9:50 AM Philippe JOUNIN <<a href="mailto:philippe.jounin@orange.fr">philippe.jounin@orange.fr</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><p>Hello,<br><br>I am trying to connect a Linux/Strongswan box to a Cisco router using <br>    - dynamic VTI with IKEv2 on the Cisco (aka flexVPN)<br>    - routed based VPN on the Linux on a tunnel interface named ipsec0 which receives a dynamic virtual address<br><br>The ipsec tunnel is correctly established and the vips address is correctly assigned by the Cisco, transferred by IKEv2 and assigned to the ipsec0 interface.<br>However only the traffic sourced by the ipsec0 address is routed through the tunnel. All other traffic is filtered out with a "NoRoute" error before entering in the tunnel.<br><br>As explained in the wiki page <a href="https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN" target="_blank">https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN</a>, i have :<br>- enabled ip forwarding<br>- disabled the policy rules with sysctl -w net.ipv4.conf.ipsec0.disable_policy=1<br>- disabled the charon route processing.<br><br>If i use NAT to translate all outgoing traffic to the VIP address, everything is OK, but direct routing does not enter the tunnel.<br><br>I guess the trouble is that the local selector is the /32 vips address instead of <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>. <br>I have tried to set local_ts to 0/0, but it is overriden by vips instruction.<br><br>Can you help me to understand what i have done wrong ?<br>Thanks !<br><br><br>----<br>configurations :<br>- Cisco configuration:             <a href="https://pastebin.com/z8rjJ1hq" target="_blank">https://pastebin.com/z8rjJ1hq</a><br>- Strongswan configuration (charon.conf and swanctl.conf): <a href="https://pastebin.com/WwjYb1uP" target="_blank">https://pastebin.com/WwjYb1uP</a><br>- tunnel creation and establishment:    <a href="https://pastebin.com/GCgzzuXQ" target="_blank">https://pastebin.com/GCgzzuXQ</a><br><br>troubleshooting:<br>- logs and debug info : <a href="https://pastebin.com/j1nFUDa8" target="_blank">https://pastebin.com/j1nFUDa8</a><br><br><br><br><br></p></blockquote></div>