<div dir="ltr">Hi,<div><br></div><div>Did you try adding:</div><div><br></div><div>        installpolicy=yes<br>        leftfirewall=yes<br></div><div><br></div><div>Regards.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Aug 14, 2020 at 2:18 PM Philip Prindeville <<a href="mailto:philipp_subx@redfish-solutions.com">philipp_subx@redfish-solutions.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi.<br>
<br>
I’m using 64-bit CentOS 8 Stream on a pair of Raspberry Pi4’s as hotspots.<br>
<br>
I’m using a self-signed Cert and derived public certs per this article:<br>
<br>
<a href="https://www.howtoforge.com/tutorial/strongswan-based-ipsec-vpn-using-certificates-and-pre-shared-key-on-ubuntu-16-04/" rel="noreferrer" target="_blank">https://www.howtoforge.com/tutorial/strongswan-based-ipsec-vpn-using-certificates-and-pre-shared-key-on-ubuntu-16-04/</a><br>
<br>
There’s (hostnames) Pelican2 (gw1) and Pelican1 (gw5).  But I’ll refer to them by their Strongswan configuration names.<br>
<br>
The capture is from gw1, which is at XX.XX.XX.246, and has dummy0 (<a href="http://10.5.28.1/24" rel="noreferrer" target="_blank">10.5.28.1/24</a>) as the internal test subnet.<br>
<br>
Gw5 is at XX.XX.XX.245, and has dummy0 (<a href="http://10.5.30.1/24" rel="noreferrer" target="_blank">10.5.30.1/24</a>) as the internal test subnet.<br>
<br>
If I try to ping from gw5 to 10.5.28.1 then I get Unreachables.<br>
<br>
If I ping from gw1 to gw5 on 10.5.30.1 then it sometimes works, and I can briefly ping back in the reverse direction (i.e. to 10.5.28.1 from gw5 which previously didn’t work).<br>
<br>
My issues are:<br>
<br>
(1) I can’t confirm that the PING is being encapsulated in GRE, then the GRE goes over IPSec ESP transport mode.<br>
<br>
(2) If that is in fact working, it looks like the decapsulated PING is being rejected by the firewall on gw1, or else there’s a misconfiguration…<br>
<br>
Unlike a Cisco router, which I can set an ACL and do full packet tracing, I’m not sure if there’s an equivalent way to do marking and logging in Linux + NFT in the kernel (because of the known limitations of how BPF interacts with the IPSec stack in Linux).  Any pointers would be appreciated.<br>
<br>
Do I need to set up a “policy” rule that allows incoming decapsulated PING (ICMP Echo Request) packets?<br>
<br>
Are there known issues or additional configuration required to interoperate with firewalld?<br>
<br>
Thanks,<br>
<br>
-Philip<br>
<br>
<br>
<br>
</blockquote></div>