<div dir="ltr">My example is probably not very good. Modify a little bit.<div><div style="font-size:12.8px">on one side(Router A):</div><div style="font-size:12.8px">leftsubnets='<a href="http://10.100.0.0/16" target="_blank">10.100.0.0/16</a>'</div><div style="font-size:12.8px">rightsubnets='<a href="http://10.200.0.0/24" target="_blank">10.200.0.0/</a>16'</div><div style="font-size:12.8px"><br></div><div style="font-size:12.8px">on the other side (Router B):</div><div style="font-size:12.8px"><div>leftsubnets='<a href="http://10.200.0.0/16" target="_blank">10.200.0.0/16</a>'</div><div>rightsubnets='<a href="http://10.100.0.0/24" target="_blank">10.100.0.0/24</a>'</div><div><br></div><div>When Router B proposes to Router A, since the requested rightsubnets is a subset of Router A's leftsubnets, we would expect it could work. </div><div><br></div><div>The scenario we want to support is: say at beginning, Router A and B have exact match between <a href="http://10.100.0.0/24">10.100.0.0/24</a> and <a href="http://10.200.0.0/16">10.200.0.0/16</a>, but later customer decide to expand Router A leftsubnets to <a href="http://10.100.0.0/16">10.100.0.0/16</a>. After Router A made the change, we want the communication between A and B still works without having to manually update Router B's configuration. </div><div><br></div><div><br></div><div>Thanks,</div><div>Xinwei</div><div><br></div><div><br></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Mar 6, 2017 at 12:05 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div>Why are you mismatching the ranges and masks??</div><div id="m_2277091666274155367AppleMailSignature"><br></div><div id="m_2277091666274155367AppleMailSignature">You must use the same configuration of network ranges for both sides to agree.</div><div id="m_2277091666274155367AppleMailSignature"><br></div><div id="m_2277091666274155367AppleMailSignature">Paul</div><div id="m_2277091666274155367AppleMailSignature"><br>Sent from my iPhone</div><div><div class="h5"><div><br>On Mar 6, 2017, at 19:59, Xinwei Hong <<a href="mailto:xhong@skytap.com" target="_blank">xhong@skytap.com</a>> wrote:<br><br></div><blockquote type="cite"><div><div dir="ltr">Hi,<div><br></div><div>With pluto/netkey, if one one side I have:</div><div>leftsubnets='<a href="http://10.100.0.0/16" target="_blank">10.100.0.0/16</a>'</div><div>rightsubnets='<a href="http://10.200.0.0/24" target="_blank">10.200.0.0/24</a>'</div><div><br></div><div>on the other side:</div><div><div>leftsubnets='<a href="http://10.200.0.0/16" target="_blank">10.200.0.0/16</a>'</div><div>rightsubnets='<a href="http://10.100.0.0/24" target="_blank">10.100.0.0/24</a>'</div></div><div><br></div><div>step 2 negotiation won't work probably because they are not exact match. Is this expected or I'm missing something. Can it do a subset matching?</div><div><br></div><div>Previously when I use racoon+netkey, things were OK and tunnel can be created.</div><div><br></div><div><br></div><div>Thanks,</div><div>Xinwei</div></div>
</div></blockquote></div></div><blockquote type="cite"><div><span>______________________________<wbr>_________________</span><br><span>Swan mailing list</span><br><span><a href="mailto:Swan@lists.libreswan.org" target="_blank">Swan@lists.libreswan.org</a></span><br><span><a href="https://lists.libreswan.org/mailman/listinfo/swan" target="_blank">https://lists.libreswan.org/<wbr>mailman/listinfo/swan</a></span><br></div></blockquote></div></blockquote></div><br></div>