<div dir="ltr"><div>Dear Libre Team</div><div><br>I have two CentOS Stream machines A and D with Libreswan 4.1 on both.  Machine A is at HO and is already having a site-to-site VPN to two other remote sites, but machine D is at an upcoming location that is being setup. Machine D on which Libreswan is being setup is also acting as a Gateway and Firewall to that small LAN. <br><br>Libreswan is being setup just like how it is done at other sites successfully except that there is one change at site D. At other locations the ISP's Internet connection terminates on the WAN interface of the CentOS machine which has the public IPs configured directly on it.  However at site D, although it has both LAN and WAN interfaces, the Internet connection is not terminated on the CentOS machine.  Instead it terminates on a Wireless router setup by the ISP at our premises and according to them, this is the only way to make it work.<br><br>The LAN segment is <a href="http://192.168.14.0/24">192.168.14.0/24</a> and their default gateway is the CentOS machine which has the IP <a href="http://192.168.14.129/24">192.168.14.129/24</a> on the LAN interface.  The WAN interface has the IP <a href="http://10.10.128.100/24">10.10.128.100/24</a> and connects to the ISP's Wireless router which is on <a href="http://10.10.128.1/24">10.10.128.1/24</a>.  The Public IP W.X.Y.Z is configured on the WAN interface of the ISP's Wireless router. <br><br><b>On machine D</b><br><br>conn PLSUBNET<br>     also=PLUTO-EUROPA<br>     leftsubnet=<a href="http://192.168.14.0/24">192.168.14.0/24</a><br> leftsourceip=192.168.14.129<br>   rightsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>  rightsourceip=192.168.1.1<br>     auto=start<br>conn PLUTO-EUROPA<br> type=tunnel<br>   left=W.X.Y.Z<br>  right=A.B.C.D<br> authby=secret<br> ikev2=insist<br>  pfs=no<br>        ike=aes256-sha2_512+sha2_256-dh21<br>     esp=aes256-sha2_512+sha1+sha2_256;dh21<br>        dpddelay=5<br>    dpdtimeout=120<br>        dpdaction=restart<br>     encapsulation=yes<br><br>000 "PLSUBNET": <a href="http://192.168.14.0/24===W.X.Y.Z">192.168.14.0/24===W.X.Y.Z</a><W.X.Y.Z>...A.B.C.D<A.B.C.D>===<a href="http://192.168.1.0/24">192.168.1.0/24</a>; unrouted; eroute owner: #0<br>000 "PLSUBNET":     unoriented; my_ip=192.168.14.129; their_ip=192.168.1.1; my_updown=ipsec _updown;<br><br><br><b>At the HO machine</b><br><br>conn PLUTOSUBNET<br>  also=EUROPA-PLUTO<br>     leftsubnet=<a href="http://192.168.14.0/24">192.168.14.0/24</a><br> leftsourceip=192.168.14.129<br>   rightsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>  rightsourceip=192.168.1.1<br>     auto=start<br>conn EUROPA-PLUTO<br> type=tunnel<br>   left=W.X.Y.Z<br>  right=A.B.C.D<br> authby=secret<br> ikev2=insist<br>  pfs=no<br>        ike=aes256-sha2_512+sha2_256-dh21<br>     esp=aes256-sha2_512+sha1+sha2_256;dh21<br>        dpddelay=5<br>    dpdtimeout=120<br>        dpdaction=restart<br>     encapsulation=yes<br>000 "PLUTOSUBNET": <a href="http://192.168.1.0/24===A.B.C.D">192.168.1.0/24===A.B.C.D</a><A.B.C.D>...W.X.Y.Z<W.X.Y.Z>===<a href="http://192.168.14.0/24">192.168.14.0/24</a>; unrouted; eroute owner: #0<br>000 "PLUTOSUBNET":     oriented; my_ip=192.168.1.1; their_ip=192.168.14.129; my_updown=ipsec _updown;</div><div><br></div><div><b>FYI.  The ISP's Wireless router has a rule to forward all incoming IPSEC traffic to the CentOS machine on 10.10.128.100</b><br></div><div><br></div><div>Thank you, Best regards</div><div><br></div><div>Udai<br></div></div>