<div dir="ltr"><div><div class="gmail_signature"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><div>> Hi,</div><div>></div><div>> Trying to connect an AWS instance (and its VPC) to a Linux firewall in our</div><div>> office, I'm sure I'm missing something obvious. But I can't find it</div><div>> documented anywhere obvious. I've used various *swans for years, from Linux</div><div>> to Ciscos. Now I'm trying to use Libreswan on both ends between an instance</div><div>> on a VPC on AWS and an Ubuntu box serving as a firewall in our office.</div><div><br></div><div>We're running an AWS instance to Cisco IPSec tunnel without issues.</div><div><br></div><div>> My config's based on the one here:</div><div>> <a href="https://libreswan.org/wiki/Interoperability">https://libreswan.org/wiki/Interoperability</a>.</div><div>>  </div><div>> I've got UDP ports 4500 and 500 open on each end to the other's IP (by Group</div><div>> Policy on AWS, by FireHOL/iptables on the office box). Also added the</div><div>> office-side subnets to the Group Policy for AWS.</div><div>></div><div>> I've got "ipsec verify" giving [OK] on everything on both ends.<br></div><div>></div><div>> I've added the elastic IP to lo on the AWS instance.</div><div><br></div><div>To confirm this: you have bound the (public) elastic IP to the lo interface of the AWS instance?  I have never heard of this requirement it is certainly not required - and in fact might well be a contributing factor to the problem.</div><div><br></div><div>> I've disabled the Source/Destination check on the AWS instance.></div><div>> Now I see with ipsec barf:</div><div>></div><div>> First pluto complaining multiply:</div><div>></div><div>>   We cannot identify ourselves with either end of this connection.  172.17.10.3 or xx.yy.zz.108 are not usable</div><div>></div><div>> This is with xx.yy.zz.108 plainly available as an IP on a WAN interface. The</div><div>> other IP, on another interface, has no reference in the config.</div><div>> </div><div>> Then pluto advises:</div><div>></div><div>>   packet from aa.bb.cc.245:500: initial Main Mode message received on xx.yy.zz.108:500 but no connection has been authorized with policy PSK+IKEV1_ALLOW</div><div>></div><div>> Note that's saying the message has been recieved on the IP which is "not</div><div>> usable." I assume the connection has not been "authorized" because it was</div><div>> previously rejected as "unusable"?</div><div>> </div><div>> What are the criteria for "usable"?</div></div><div><div>></div><div>> Thanks,</div><div>> Whit</div></div><div><br>One of our AWS end configs (sanitised) below:</div><div><div>conn ipsec-tunnel-00</div><div>    type=tunnel</div><div>    authby=secret</div><div>    left=%defaultroute</div><div>    leftid=<elastic IP of instance NOT bound anywhere on instance></div><div>    leftnexthop=%defaultroute</div><div>    leftsubnet=<instance subnet></div><div>    leftsourceip=<instance eth0 ipv4 addr></div><div>    right=<remote target public IP addr></div><div>    rightsubnets=<target subnet></div><div>    ....</div></div><div><br></div><div>Good luck.</div><div><br></div><div>Regards,</div><div>Duncan.</div></div></div></div></div></div></div></div>
</div>