<div dir="ltr"><div><br></div><div>Dear Libre Team</div><div>I have been having a long pending problem with a VPN I am trying to establish between two CentOS 8 machines. <br></div><div>One is at the HO establishing connection to three other branch offices, while all three are getting connected, at one branch office the public IP is not configured on the machine directly, but on an external vendor's router.  Initially I had trouble establishing connection to this unit, but after a lot of reading and config change, the connection is getting established now, but I cannot ping or reach each other.  Attaching the config details FYI please.  Would appreciate any help from the community.</div><div><br></div><div><br></div><div>Thank you, Best wishes</div><div><br></div><div>Udai</div><div><br></div><div>----------------</div><div><br></div><div>ON MACHINE PLUTO<br><br>IP Configuration<br><br>       2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default         qlen 1000<br>    link/ether 10:e7:c6:30:79:0e brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://192.168.14.129/24">192.168.14.129/24</a> brd 192.168.14.255 scope global noprefixroute eno1<br>       valid_lft forever preferred_lft forever<br>    inet6 fe80::12e7:c6ff:fe30:790e/64 scope link noprefixroute <br>       valid_lft forever preferred_lft forever<br> <br>      3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default       qlen 1000<br>    link/ether 68:05:ca:e9:bc:a2 brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://10.10.128.100/24">10.10.128.100/24</a> brd 10.10.128.255 scope global noprefixroute enp1s0<br>       valid_lft forever preferred_lft forever<br>    inet6 fe80::6a05:caff:fee9:bca2/64 scope link noprefixroute <br>       valid_lft forever preferred_lft forever<br><br><br>conn PLSUBNET<br>       also=PLUTO-EUROPA<br>     leftsubnet=<a href="http://192.168.14.0/24">192.168.14.0/24</a><br> leftsourceip=192.168.14.129<br>   rightsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>  rightsourceip=192.168.1.1<br>     auto=start<br>conn PLUTO-EUROPA<br> type=tunnel<br>   left=%defaultroute<br>    leftid=1.2.3.4  (This public IP is not configured on this machine PLUTO, but on an externally                          facing router)<br>        right=9.8.7.6  (This public IP is directly configured on the EUROPA machine)<br> authby=secret<br> ikev2=insist<br>  pfs=no<br>        ike=aes256-sha2_512+sha2_256-dh21<br>     esp=aes256-sha2_512+sha1+sha2_256;dh21<br>        dpddelay=5<br>    dpdtimeout=120<br>        dpdaction=restart<br>     encapsulation=yes<br><br><br>000 Connection list:<br>000  <br>000 "PLSUBNET": <a href="http://192.168.14.0/24===10.10.128.100[1.2.3.4]---10.10.128.1...9.8.7.6">192.168.14.0/24===10.10.128.100[1.2.3.4]---10.10.128.1...9.8.7.6</a><9.8.7.6>===<a href="http://192.168.1.0/24">192.168.1.0/24</a>; erouted; eroute owner: #45<br>000 "PLSUBNET":     oriented; my_ip=192.168.14.129; their_ip=192.168.1.1; my_updown=ipsec _updown;<br>000 "PLSUBNET":   xauth us:none, xauth them:none,  my_username=[any]; their_username=[any]<br>000 "PLSUBNET":   our auth:secret, their auth:secret<br>000 "PLSUBNET":   modecfg info: us:none, them:none, modecfg policy:push, dns:unset, domains:unset, cat:unset;<br>000 "PLSUBNET":   sec_label:unset;<br>000 "PLSUBNET":   ike_life: 28800s; ipsec_life: 28800s; replay_window: 32; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;<br>000 "PLSUBNET":   retransmit-interval: 500ms; retransmit-timeout: 60s; iketcp:no; iketcp-port:4500;<br>000 "PLSUBNET":   initial-contact:no; cisco-unity:no; fake-strongswan:no; send-vendorid:no; send-no-esp-tfc:no;<br>000 "PLSUBNET":   policy: IKEv2+PSK+ENCRYPT+TUNNEL+UP+IKE_FRAG_ALLOW+ESN_NO;<br>000 "PLSUBNET":   v2-auth-hash-policy: none;<br>000 "PLSUBNET":   conn_prio: 24,24; interface: enp1s0; metric: 0; mtu: unset; sa_prio:auto; sa_tfc:none;<br>000 "PLSUBNET":   nflog-group: unset; mark: unset; vti-iface:unset; vti-routing:no; vti-shared:no; nic-offload:auto;<br>000 "PLSUBNET":   our idtype: ID_IPV4_ADDR; our id=1.2.3.4; their idtype: ID_IPV4_ADDR; their id=9.8.7.6<br>000 "PLSUBNET":   dpd: action:restart; delay:5; timeout:120; nat-t: encaps:yes; nat_keepalive:yes; ikev1_natt:both<br>000 "PLSUBNET":   newest ISAKMP SA: #44; newest IPsec SA: #45; conn serial: $1;<br>000 "PLSUBNET":   IKE algorithms: AES_CBC_256-HMAC_SHA2_512+HMAC_SHA2_256-DH21<br>000 "PLSUBNET":   IKEv2 algorithm newest: AES_CBC_256-HMAC_SHA2_512-DH21<br>000 "PLSUBNET":   ESP algorithms: AES_CBC_256-HMAC_SHA2_512_256+HMAC_SHA1_96+HMAC_SHA2_256_128<br>000 "PLSUBNET":   ESP algorithm newest: AES_CBC_256-HMAC_SHA2_512_256; pfsgroup=<N/A><br>000  <br>000 Total IPsec connections: loaded 1, active 1<br>000  <br>000 State Information: DDoS cookies not required, Accepting new IKE connections<br>000 IKE SAs: total(1), half-open(0), open(0), authenticated(1), anonymous(0)<br>000 IPsec SAs: total(1), authenticated(1), anonymous(0)<br>000  <br>000 #44: "PLSUBNET":4500 STATE_V2_ESTABLISHED_IKE_SA (established IKE SA); EVENT_SA_REKEY in 9874s; newest ISAKMP; idle;<br>000 #45: "PLSUBNET":4500 STATE_V2_ESTABLISHED_CHILD_SA (IPsec SA established); EVENT_SA_REKEY in 10446s; newest IPSEC; eroute owner; isakmp#44; idle;<br>000 #45: "PLSUBNET" <a href="mailto:esp.716c376b@9.8.7.6">esp.716c376b@9.8.7.6</a> <a href="mailto:esp.fdc71b0a@10.10.128.100">esp.fdc71b0a@10.10.128.100</a> <a href="mailto:tun.0@9.8.7.6">tun.0@9.8.7.6</a> <a href="mailto:tun.0@10.10.128.100">tun.0@10.10.128.100</a> Traffic: ESPin=1KB ESPout=0B! ESPmax=0B <br><br><br><br>ON MACHINE EUROPA<br><br>IP Configuration<br>    <br>      2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default         qlen 1000<br>    link/ether 10:e7:c6:30:78:e9 brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://192.168.1.1/24">192.168.1.1/24</a> brd 192.168.1.255 scope global noprefixroute eno1<br>       valid_lft forever preferred_lft forever<br>    inet6 fe80::12e7:c6ff:fe30:78e9/64 scope link <br>       valid_lft forever preferred_lft forever<br>      <br>      3: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default       qlen 1000<br>    link/ether 00:1b:21:39:57:5f brd ff:ff:ff:ff:ff:ff<br>    inet <a href="http://9.8.7.6/27">9.8.7.6/27</a> brd 9.8.7.255 scope global noprefixroute enp1s0<br>       valid_lft forever preferred_lft forever<br><br><br>conn PLUTOSUBNET<br>    also=EUROPA-PLUTO<br>     leftsubnet=<a href="http://192.168.14.0/24">192.168.14.0/24</a><br> leftsourceip=192.168.14.129<br>   rightsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>  rightsourceip=192.168.1.1<br>     auto=start<br>conn EUROPA-PLUTO<br> type=tunnel<br>   left=1.2.3.4<br>  right=9.8.7.6<br> authby=secret<br> ikev2=insist<br>  pfs=no<br>        ike=aes256-sha2_512+sha2_256-dh21<br>     esp=aes256-sha2_512+sha1+sha2_256;dh21<br>        dpddelay=5<br>    dpdtimeout=120<br>        dpdaction=restart<br>     encapsulation=yes<br><br><br>000 "PLUTOSUBNET": <a href="http://192.168.1.0/24===9.8.7.6">192.168.1.0/24===9.8.7.6</a><9.8.7.6>...1.2.3.4<1.2.3.4>===<a href="http://192.168.14.0/24">192.168.14.0/24</a>; erouted; eroute owner: #6276<br>000 "PLUTOSUBNET":     oriented; my_ip=192.168.1.1; their_ip=192.168.14.129; my_updown=ipsec _updown;<br>000 "PLUTOSUBNET":   xauth us:none, xauth them:none,  my_username=[any]; their_username=[any]<br>000 "PLUTOSUBNET":   our auth:secret, their auth:secret<br>000 "PLUTOSUBNET":   modecfg info: us:none, them:none, modecfg policy:push, dns:unset, domains:unset, cat:unset;<br>000 "PLUTOSUBNET":   sec_label:unset;<br>000 "PLUTOSUBNET":   ike_life: 28800s; ipsec_life: 28800s; replay_window: 32; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0;<br>000 "PLUTOSUBNET":   retransmit-interval: 500ms; retransmit-timeout: 60s; iketcp:no; iketcp-port:4500;<br>000 "PLUTOSUBNET":   initial-contact:no; cisco-unity:no; fake-strongswan:no; send-vendorid:no; send-no-esp-tfc:no;<br>000 "PLUTOSUBNET":   policy: IKEv2+PSK+ENCRYPT+TUNNEL+UP+IKE_FRAG_ALLOW+ESN_NO;<br>000 "PLUTOSUBNET":   v2-auth-hash-policy: none;<br>000 "PLUTOSUBNET":   conn_prio: 24,24; interface: enp1s0; metric: 0; mtu: unset; sa_prio:auto; sa_tfc:none;<br>000 "PLUTOSUBNET":   nflog-group: unset; mark: unset; vti-iface:unset; vti-routing:no; vti-shared:no; nic-offload:auto;<br>000 "PLUTOSUBNET":   our idtype: ID_IPV4_ADDR; our id=9.8.7.6; their idtype: ID_IPV4_ADDR; their id=1.2.3.4<br>000 "PLUTOSUBNET":   dpd: action:restart; delay:5; timeout:120; nat-t: encaps:yes; nat_keepalive:yes; ikev1_natt:both<br>000 "PLUTOSUBNET":   newest ISAKMP SA: #6275; newest IPsec SA: #6276; conn serial: $4;<br>000 "PLUTOSUBNET":   IKE algorithms: AES_CBC_256-HMAC_SHA2_512+HMAC_SHA2_256-DH21<br>000 "PLUTOSUBNET":   IKEv2 algorithm newest: AES_CBC_256-HMAC_SHA2_512-DH21<br>000 "PLUTOSUBNET":   ESP algorithms: AES_CBC_256-HMAC_SHA2_512_256+HMAC_SHA1_96+HMAC_SHA2_256_128<br>000 "PLUTOSUBNET":   ESP algorithm newest: AES_CBC_256-HMAC_SHA2_512_256; pfsgroup=<N/A><br>000  <br>000 Total IPsec connections: loaded 3, active 3<br>000  <br>000 State Information: DDoS cookies not required, Accepting new IKE connections<br>000 IKE SAs: total(3), half-open(0), open(0), authenticated(3), anonymous(0)<br>000 IPsec SAs: total(3), authenticated(3), anonymous(0)<br>000  <br>000 State Information: DDoS cookies not required, Accepting new IKE connections<br>000 IKE SAs: total(3), half-open(0), open(0), authenticated(3), anonymous(0)<br>000 IPsec SAs: total(3), authenticated(3), anonymous(0)<br>000  <br>000 #6275: "PLUTOSUBNET":4500 STATE_V2_ESTABLISHED_IKE_SA (established IKE SA); EVENT_SA_REKEY in 8486s; newest ISAKMP; idle;<br>000 #6276: "PLUTOSUBNET":4500 STATE_V2_ESTABLISHED_CHILD_SA (IPsec SA established); EVENT_SA_REKEY in 8662s; newest IPSEC; eroute owner; isakmp#6275; idle;<br>000 #6276: "PLUTOSUBNET" <a href="mailto:esp.fdc71b0a@1.2.3.4">esp.fdc71b0a@1.2.3.4</a> <a href="mailto:esp.716c376b@9.8.7.6">esp.716c376b@9.8.7.6</a> <a href="mailto:tun.0@1.2.3.4">tun.0@1.2.3.4</a> <a href="mailto:tun.0@9.8.7.6">tun.0@9.8.7.6</a> Traffic: ESPin=0B ESPout=1KB! ESPmax=0B <br>000  <br><br><br><br></div><div><br></div></div>