<div dir="ltr"><div style="padding:20px 0px 0px;font-size:0.875rem;font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif"><table cellpadding="0" style="border-collapse:collapse;margin-top:0px;width:auto;font-size:0.875rem;letter-spacing:0.2px;display:block"><tbody style="display:block"></tbody></table><span style="font-family:Calibri,sans-serif;font-size:11pt">Hello All,</span></div><div style="font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:medium"><div id="m_-1073050660331708893gmail-:kt" style="font-size:0.875rem;direction:ltr;margin:8px 0px 0px;padding:0px"><div id="m_-1073050660331708893gmail-:ks" style="overflow:hidden;font-variant-numeric:normal;font-variant-east-asian:normal;font-stretch:normal;font-size:small;line-height:1.5;font-family:Arial,Helvetica,sans-serif"><div dir="ltr"><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">Can someone please advise me on the below.</p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><br></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><b>Overview of my configuration:</b></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">The righsubent and leftsubnet on the Libreswan VPN server are set to <a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>. The plan is to run iBGP over IPSec. On my server-side. <span style="font-size:11pt">I have set right=%any (For my use case this is unknown). I have enabled the vti-interface with routing turned off so that I can run iBGP across IPSec.</span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">On my test setup, I have client tunnel endpoint: 10.11.0.1 and server endpoint 10.11.0.254.</p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><b>Observation:</b> On the Libreswan Server</p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">The tunnel is established as desired:</p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><i><a href="http://0.0.0.0/0===10.11.0.254" target="_blank">0.0.0.0/0===10.11.0.254</a><10.11.0.254>[@libswan]...10.11.0.1[@dummy01]===<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a>; erouted;</i></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">But the VTI (IP-IP Interface) configured by Libreswan does not define the client tunnel endpoint.</p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><i>ipsec01@NONE: <NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN mode DEFAULT group default qlen 1000<br> <b>   link/ipip 10.11.0.254 <span style="color:red">brd 0.0.0.0</span></b></i></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><b>Questions:</b></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">In my knowledge we should read the endpoint IP (10.11.0.1) and use it for configuring the IP tunnel. Is my understanding correct? or am I missing something?  </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><span style="color:black">This works just fine for a single tunnel but when I have multiple tunnels with individual VTI interface all set to  link/ipip 10.11.0.254 brd 0.0.0.0 the ESP packets get dropped. The ESP packets are seen on the outer interface but they don't get routed to the respective VTI interface and are dropped.</span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">Will switching to route based XFRMi (ipsec-interface) help in this case?</p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"> </p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif"><span style="font-size:11pt">Regards,</span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:11pt;font-family:Calibri,sans-serif">-Rav ya</p></div></div></div></div></div>