<div dir="ltr"><div><div><div><div><div>Hello,<br><br></div>Currently, I have a VTI interface on CentOS7 going to a Juniper SRX. The tunnel shows up with both IKE and IPSEC SA's established and the IPSEC SPI's matching on both sides. <br><br></div>The Centos box has IPTABLES wide open current and selinux has been disabled temporarily to ensure they aren't impacting anything. The CENTOS box sits behind NAT.</div><div><br></div><div>SRX(104.167.4.2) to 34.204.126.142 <Nat> to (172.31.140.0) Centos</div><div><br></div><div>VTI interfaces and ST interface on the srx set to IPs on the <a href="http://192.168.10.0/24">192.168.10.0/24</a> network</div><div><br></div><div>I have users sitting on <a href="http://10.8.0.0/24">10.8.0.0/24</a> that I am trying to have use this tunnel that are connected off of the CENTOS box.<br></div><div><br></div>The issue I see no bytes transversing the VTI interface. When I ping from the SRX to the VTI interface I see the RX error incrementing but I get no response from the IP associated with the VTI interface. When I attempt to send pings to the SRX interface, I get TX errors on the VTI interface. The IP XFRM doesn't show a ESP SPI value but does show a REQ ID which is below. I am not sure if the value should show there or not as well. I also can't ping from a 10.8.x.x address across the VTI either.<br></div><div><br></div><div>I am new to LIBRESWAN and would appreciate any help getting this issue resolved. I am sure its probably something I haven't configured correctly or overlooked but I am not knowledgeable enough to see what it is.<br></div><div><br></div>Below is some information from my CENOS box.<br><br></div>Paul<br><div><div><br></div><div>ipsec whack --trafficstatus<br>006 #41: "SRX", type=ESP, add_time=0, inBytes=0, outBytes=0, id='104.167.4.2'</div><div><br></div><div>============<br>ipsec status<br>000 Total IPsec connections: loaded 1, active 1<br>000<br>000 State Information: DDoS cookies not required, Accepting new IKE connections<br>000 IKE SAs: total(1), half-open(0), open(0), authenticated(1), anonymous(0)<br>000 IPsec SAs: total(1), authenticated(1), anonymous(0)<br>000<br>000 #41: "SRX":4500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 2129s; newest IPSEC; eroute owner; isakmp#40; idle; import:admin initiate<br>000 #41: "SRX" <a href="mailto:esp.f9f094b7@102.167.4.2">esp.f9f094b7@102.167.4.2</a> <a href="mailto:esp.a8a78361@172.31.140.0">esp.a8a78361@172.31.140.0</a> <a href="mailto:tun.0@102.167.4.2">tun.0@102.167.4.2</a> <a href="mailto:tun.0@172.31.140.0">tun.0@172.31.140.0</a> ref=0 refhim=0 Traffic: ESPin=0B ESPout=0B! ESPmax=4194303B<br>000 #40: "SRX":4500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 155s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate<br>===============<br>Ifconfig<br>vti201: flags=209<UP,POINTOPOINT,RUNNING,NOARP>  mtu 8981<br>        inet 192.168.10.2  netmask 255.255.255.0  destination 192.168.10.1<br>        tunnel   txqueuelen 1  (IPIP Tunnel)<br>        RX packets 0  bytes 0 (0.0 B)<br>        RX errors 0  dropped 0  overruns 0  frame 0<br>        TX packets 0  bytes 0 (0.0 B)<br>        TX errors 0  dropped 0 overruns 0  carrier 0  colliconn SRX<br>================<br>IPSECON.CONF config</div><div>  authby=secret<br>  #aggressive=no<br>  #type=tunnel<br>  left=172.31.140.0<br>   leftid=34.204.126.142<br>  right=102.167.4.2<br>  auto=start<br>  mark=5/0xfffffff<br>  keyingtries=%forever<br>  rightsubnet=<a href="http://0.0.0.0/24">0.0.0.0/24</a><br>  leftsubnet=<a href="http://10.8.0.0/24">10.8.0.0/24</a><br>  ike=aes-sha1;modp1536<br>  phase2=esp<br>  phase2alg=aes256-sha1;modp1536<br>  vti-interface=vti201<br>  vti-routing=yes<br>  leftvti=<a href="http://192.168.10.2/24">192.168.10.2/24</a><br> <br><br></div>ip -s xfrm policy<br><div><br></div><div>src <a href="http://10.8.0.0/24">10.8.0.0/24</a> dst <a href="http://0.0.0.0/24">0.0.0.0/24</a> uid 0<br>        dir out action allow index 625 priority 2344 ptype main share any flag  (0x00000000)<br>        lifetime config:<br>          limit: soft (INF)(bytes), hard (INF)(bytes)<br>          limit: soft (INF)(packets), hard (INF)(packets)<br>          expire add: soft 0(sec), hard 0(sec)<br>          expire use: soft 0(sec), hard 0(sec)<br>        lifetime current:<br>          0(bytes), 0(packets)<br>          add 2017-10-31 12:22:43 use -<br>        mark 5/0xfffffff<br>        tmpl src 172.31.140.0 dst 102.167.4.2<br>                proto esp spi 0x00000000(0) reqid 16389(0x00004005) mode tunnel<br>                level required share any<br>                enc-mask ffffffff auth-mask ffffffff comp-mask ffffffffsrc <a href="http://0.0.0.0/24">0.0.0.0/24</a> dst <a href="http://10.8.0.0/24">10.8.0.0/24</a> uid 0<br>        dir fwd action allow index 642 priority 2344 ptype main share any flag  (0x00000000)<br>        lifetime config:<br>          limit: soft (INF)(bytes), hard (INF)(bytes)<br>          limit: soft (INF)(packets), hard (INF)(packets)<br>          expire add: soft 0(sec), hard 0(sec)<br>          expire use: soft 0(sec), hard 0(sec)<br>        lifetime current:<br>          0(bytes), 0(packets)<br>          add 2017-10-30 20:39:08 use -<br>        mark 5/0xfffffff<br>        tmpl src 102.167.4.2 dst 172.31.140.0<br>                proto esp spi 0x00000000(0) reqid 16389(0x00004005) mode tunnel<br>                level required share any<br>                enc-mask ffffffff auth-mask ffffffff comp-mask ffffffff<br><br><br><br><br><br><br></div></div></div>