<div dir="ltr">Hello,<div><br></div><div>I am running strongswan on a machine on an OVH openstack. The goal is to access the network from a TheGreenBow client. I am able to up the tunnel but from a windows terminal, I am not able to ping a machine on the remote network.</div><div><br></div><div>                                          Gateway                                      Internet                   NAT       WindowsClient</div><div>[192.168.161.15]<---->[192.168.161.201]<---->[Router]<----------------->[Router]<---->[192.168.1.32]</div><div><br></div><div><u>strongswan configuration :</u></div><div><br></div><div>conn ikev2-vpn<br>        auto=add<br>        compress=no<br>        type=tunnel<br>        keyexchange=ikev2<br>        fragmentation=yes<br>        leftfirewall=no<br>        authby=secret<br>        left=%any<br>        leftsubnet=<a href="http://192.168.161.0/24">192.168.161.0/24</a><br>        rightsourceip=<a href="http://10.3.0.0/24">10.3.0.0/24</a><br>        right=%any<br>        mark=43<br></div><div><br></div><div><u>ip address : </u></div><div><br></div><div>1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000<br>    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00<br>    inet <a href="http://127.0.0.1/8">127.0.0.1/8</a> scope host lo<br>       valid_lft forever preferred_lft forever<br>    inet6 ::1/128 scope host<br>       valid_lft forever preferred_lft forever<br>2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000<br>    link/ether fa:16:3e:07:3e:5c brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://192.168.171.12/24">192.168.171.12/24</a> brd 192.168.171.255 scope global dynamic eth0<br>       valid_lft 252228sec preferred_lft 252228sec<br>    inet6 fe80::f816:3eff:fe07:3e5c/64 scope link<br>       valid_lft forever preferred_lft forever<br>3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000<br>    link/ether fa:16:3e:5d:8b:a6 brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://192.168.161.201/24">192.168.161.201/24</a> brd 192.168.161.255 scope global eth1<br>       valid_lft forever preferred_lft forever<br>    inet6 fe80::f816:3eff:fe5d:8ba6/64 scope link<br>       valid_lft forever preferred_lft forever<br></div><div><br></div><div><pre style="white-space:pre-wrap;color:rgb(0,0,0)"></pre></div><div><u>ip route show table all :</u><br></div><div><br></div><div>10.3.0.1 via 192.168.171.1 dev eth0 table 220 proto static src 192.168.161.201<br><a href="http://192.168.2.0/24">192.168.2.0/24</a> via 192.168.171.1 dev eth0 table 220 proto static src 192.168.161.201<br>default via 192.168.171.1 dev eth0<br>169.254.169.254 via 192.168.171.1 dev eth0 proto static<br><a href="http://192.168.161.0/24">192.168.161.0/24</a> dev eth1 proto kernel scope link src 192.168.161.201<br><a href="http://192.168.171.0/24">192.168.171.0/24</a> dev eth0 proto kernel scope link src 192.168.171.12<br>broadcast 127.0.0.0 dev lo table local proto kernel scope link src 127.0.0.1<br>local <a href="http://127.0.0.0/8">127.0.0.0/8</a> dev lo table local proto kernel scope host src 127.0.0.1<br>local 127.0.0.1 dev lo table local proto kernel scope host src 127.0.0.1<br>broadcast 127.255.255.255 dev lo table local proto kernel scope link src 127.0.0.1<br>broadcast 192.168.161.0 dev eth1 table local proto kernel scope link src 192.168.161.201<br>local 192.168.161.201 dev eth1 table local proto kernel scope host src 192.168.161.201<br>broadcast 192.168.161.255 dev eth1 table local proto kernel scope link src 192.168.161.201<br>broadcast 192.168.171.0 dev eth0 table local proto kernel scope link src 192.168.171.12<br>local 192.168.171.12 dev eth0 table local proto kernel scope host src 192.168.171.12<br>broadcast 192.168.171.255 dev eth0 table local proto kernel scope link src 192.168.171.12<br>unreachable default dev lo proto kernel metric 4294967295 error -101 pref medium<br>unreachable ::/96 dev lo metric 1024 error -113 pref medium<br>unreachable ::ffff:<a href="http://0.0.0.0/96">0.0.0.0/96</a> dev lo metric 1024 error -113 pref medium<br>unreachable 2002:a00::/24 dev lo metric 1024 error -113 pref medium<br>unreachable 2002:7f00::/24 dev lo metric 1024 error -113 pref medium<br>unreachable 2002:a9fe::/32 dev lo metric 1024 error -113 pref medium<br>unreachable 2002:ac10::/28 dev lo metric 1024 error -113 pref medium<br>unreachable 2002:c0a8::/32 dev lo metric 1024 error -113 pref medium<br>unreachable 2002:e000::/19 dev lo metric 1024 error -113 pref medium<br>unreachable 3ffe:ffff::/32 dev lo metric 1024 error -113 pref medium<br>fe80::/64 dev eth0 proto kernel metric 256 pref medium<br>fe80::/64 dev eth1 proto kernel metric 256 pref medium<br>unreachable default dev lo proto kernel metric 4294967295 error -101 pref medium<br>local ::1 dev lo table local proto unspec metric 0 pref medium<br>local fe80:: dev lo table local proto unspec metric 0 pref medium<br>local fe80:: dev lo table local proto unspec metric 0 pref medium<br>local fe80::f816:3eff:fe07:3e5c dev lo table local proto unspec metric 0 pref medium<br>local fe80::f816:3eff:fe5d:8ba6 dev lo table local proto unspec metric 0 pref medium<br>ff00::/8 dev eth0 table local metric 256 pref medium<br>ff00::/8 dev eth1 table local metric 256 pref medium<br>unreachable default dev lo proto kernel metric 4294967295 error -101 pref medium<br></div><div><br></div><div><u>ip rule :</u></div><div><br></div><div>0:      from all lookup local<br>220:    from all lookup 220<br>32766:  from all lookup main<br>32767:  from all lookup default<br></div><div><br></div><div><u>sysctl -A | grep -E "ipv4.*(\.forwarding|ip_forward)" : </u><br></div><div><br></div><div>net.ipv4.conf.default.forwarding = 1<br>net.ipv4.conf.eth0.forwarding = 1<br>net.ipv4.conf.eth1.forwarding = 1<br>net.ipv4.conf.lo.forwarding = 1<br>net.ipv4.ip_forward = 1<br>net.ipv4.ip_forward_use_pmtu = 0<br></div><div><br></div><div>Someone has an idea ?</div><div><br></div><div>Thanks !</div><div><br></div><div>Guillaume<br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><table border="0" cellspacing="0" cellpadding="0" width="350" style="width:262.5pt;border-collapse:collapse;border-spacing:0px"><tbody><tr><td valign="top" style="padding:0cm"><p class="MsoNormal" style="line-height:20.25pt"><b><span style="font-size:14pt;font-family:Tahoma,sans-serif;color:rgb(33,64,154)"><br></span></b></p><p class="MsoNormal" style="line-height:20.25pt"><b><span style="font-size:14pt;font-family:Tahoma,sans-serif;color:rgb(33,64,154)"><br></span></b></p><p class="MsoNormal" style="line-height:20.25pt"></p></td></tr></tbody></table><div><p class="MsoNormal"><span style="font-size:7.5pt;font-family:Tahoma,sans-serif;color:rgb(153,153,153)"><br></span></p></div></div></div></div></div></div></div></div></div></div>