<div dir="ltr">Hi Paul,<div><br></div><div>Sorry for taking a long time to get back (I was out of office last week). </div><div><br></div><div>I have uploaded the latest log files at:</div><div><a href="https://file.town/download/7wt9a05p7mwym05mzr4dox4q7">https://file.town/download/7wt9a05p7mwym05mzr4dox4q7</a><br></div><div><a href="https://file.town/download/fxn6861zvcra5qu3q9cv9c3l0">https://file.town/download/fxn6861zvcra5qu3q9cv9c3l0</a><br></div><div><br></div><div>On the non-natt'ed side, I see:</div><div>







<p class="gmail-p1"><span class="gmail-s1">Apr 18 22:52:26 vvr-10-69-244-1 pluto[8148]: vpn-5483483: "conn_vpn-5483483-tunnel-VPNRemoteRoutedSubnet-tunnel-10.0.0.0/24" #2: no suitable connection for peer '10.0.3.3'</span></p>
<p class="gmail-p1"><span class="gmail-s1">Apr 18 22:52:26 vvr-10-69-244-1 pluto[8148]: | vpn-5483483: complete v1 state transition with INVALID_ID_INFORMATION</span></p>
<p class="gmail-p1"><span class="gmail-s1">Apr 18 22:52:26 vvr-10-69-244-1 pluto[8148]: vpn-5483483: "conn_vpn-5483483-tunnel-VPNRemoteRoutedSubnet-tunnel-10.0.0.0/24" #2: sending encrypted notification INVALID_ID_INFORMATION to <a href="http://199.204.218.98:500">199.204.218.98:500</a></span></p><p class="gmail-p1"><span class="gmail-s1">It recognizes the ip </span>10.0.3.3 which is behind NAT on the other end. Tcpdump on non-natt'ed side only see packets from the public IP, not 10.0.3.3</p><p class="gmail-p1">Thanks,<br>Xinwei</p><p class="gmail-p1"><br></p><p class="gmail-p1"><span class="gmail-s1"><br></span></p></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Apr 8, 2017 at 3:09 PM, Paul Wouters <span dir="ltr"><<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Fri, 7 Apr 2017, Xinwei Hong wrote:<br>
<br>
</span><span class=""><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I just upgraded it to 3.20. I built libreswan without specifying any parameter. I don't need klips in my setting anyway. I also added virtual-private=%v4:<a href="http://10.0.0.0/8" rel="noreferrer" target="_blank">10.0<wbr>.0.0/8</a>. Still not working. <br>
The NAT part, I'm not sure why you say that. I still see same "no suitable connection for peer '10.0.3.3'" error, but I believe it's found inside of isakmp pkts. I did tcpdump on both<br>
machines, the ip was nat'ed. e.g. only see 10.0.3.3 on one side and 199.204.218.98 on the peer side.<br>
<br>
I can upload new log if needed.<br>
</blockquote>
<br></span>
I can have a look if you upload new logs. But please do not use that<br>
dropbox API because I cannot search and scroll through that. A link<br>
the actual files would be better so I can download these and have a<br>
look.<span class="HOEnZb"><font color="#888888"><br>
<br>
Paul<br>
</font></span></blockquote></div><br></div>