<div dir="ltr"><div>Hi Paul</div><div>This was slightly confusing, because when I try to ping the HO(Europa) machin's private IP (192.168.1.1), I get a destination host unreachable message, all the while there was no change in the ESPout which remained at 0. However when I tried to ping a particular machine within the HO Lan such as 19.168.1.10, there is no reply, but the ESPout is going up 1K, 3K, 5K and so on...</div><div><br></div><div>Thanks, Best Regards</div><div><br></div><div>Udaiai<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, 20 Nov 2022 at 04:54, Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto">Can you ping from that machine using its internal IP and see if ESPout increases ?<br><br><div dir="ltr">Sent using a virtual keyboard on a phone</div><div dir="ltr"><br><blockquote type="cite">On Nov 19, 2022, at 13:14, Kumar P S Udai <<a href="mailto:kumar.udai@zuwissen.com" target="_blank">kumar.udai@zuwissen.com</a>> wrote:<br><br></blockquote></div><blockquote type="cite"><div dir="ltr"><div dir="ltr"><div>Hi Paul</div><div>I tried the above step and a few other possibilities too, but there is no change in result</div><div><br></div><div>000 #8: "PLSUBNET":4500 STATE_V2_ESTABLISHED_IKE_SA (established IKE SA); EVENT_SA_REKEY in 26251s; newest ISAKMP; idle;<br>000 #9: "PLSUBNET":4500 STATE_V2_ESTABLISHED_CHILD_SA (IPsec SA established); EVENT_SA_REKEY in 26637s; newest IPSEC; eroute owner; isakmp#8; idle;<br>000 #9: "PLSUBNET" <a href="mailto:esp.1ef8c43f@9.8.7.6" target="_blank">esp.1ef8c43f@9.8.7.6</a> <a href="mailto:esp.1e4d5a5@10.10.128.100" target="_blank">esp.1e4d5a5@10.10.128.100</a> <a href="mailto:tun.0@9.8.7.6" target="_blank">tun.0@9.8.7.6</a> <a href="mailto:tun.0@10.10.128.100" target="_blank">tun.0@10.10.128.100</a> Traffic: ESPin=5KB ESPout=0B! ESPmax=0B <br></div><div><br></div><div>I use nftables on the machine and I added the equivalent command, but to no avail.  Also for an experiment's sake, I disabled the NAT function on that machine and kept only the filter ruleset, but even that did not change anything. <br></div><div><br></div><div>Thanks, best regards</div><div><br></div><div>Udai<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, 18 Nov 2022 at 21:37, Paul Wouters <<a href="mailto:paul@nohats.ca" target="_blank">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Fri, 18 Nov 2022, Kumar P S Udai wrote:<br>
<br>
> One is at the HO establishing connection to three other branch offices, while all three are<br>
> getting connected, at one branch office the public IP is not configured on the machine directly,<br>
> but on an external vendor's router.  Initially I had trouble establishing connection to this unit,<br>
> but after a lot of reading and config change, the connection is getting established now, but I<br>
> cannot ping or reach each other.  Attaching the config details FYI please.  Would appreciate any<br>
> help from the community.<br>
<br>
> ON MACHINE PLUTO<br>
<br>
> 000 #45: "PLSUBNET" <a href="mailto:esp.716c376b@9.8.7.6" target="_blank">esp.716c376b@9.8.7.6</a> <a href="mailto:esp.fdc71b0a@10.10.128.100" target="_blank">esp.fdc71b0a@10.10.128.100</a> <a href="mailto:tun.0@9.8.7.6" target="_blank">tun.0@9.8.7.6</a><br>
> <a href="mailto:tun.0@10.10.128.100" target="_blank">tun.0@10.10.128.100</a> Traffic: ESPin=1KB ESPout=0B! ESPmax=0B<br>
<br>
Note traffic coming in, but no traffic going out.<br>
<br>
> ON MACHINE EUROPA<br>
<br>
> 000 #6276: "PLUTOSUBNET" <a href="mailto:esp.fdc71b0a@1.2.3.4" target="_blank">esp.fdc71b0a@1.2.3.4</a> <a href="mailto:esp.716c376b@9.8.7.6" target="_blank">esp.716c376b@9.8.7.6</a> <a href="mailto:tun.0@1.2.3.4" target="_blank">tun.0@1.2.3.4</a> <a href="mailto:tun.0@9.8.7.6" target="_blank">tun.0@9.8.7.6</a><br>
> Traffic: ESPin=0B ESPout=1KB! ESPmax=0B<br>
> 000  <br>
<br>
traffic going out, but no traffic coming in.<br>
<br>
I suspect that on machine PLUTO, there is a NAT rule that ends up NATing<br>
the traffic before it gets to be IPsec'ed<br>
<br>
On PLUTO try:<br>
<br>
iptables -I FORWARD -t nat -s <a href="http://192.168.14.0/24" rel="noreferrer" target="_blank">192.168.14.0/24</a>  -d <a href="http://192.168.1.0/24" rel="noreferrer" target="_blank">192.168.1.0/24</a> -j RETURN<br>
<br>
Paul<br>
</blockquote></div>
</div></blockquote></div></blockquote></div>