<div dir="auto">Thanks for the reply.<div dir="auto"><br></div><div dir="auto">For testing, the client would be natively on the <a href="http://192.168.1.0/24">192.168.1.0/24</a> network if wired, or the <a href="http://192.168.24.0/24">192.168.24.0/24</a> network if wireless, so the IP ranges and subnet for the IPSec connection are on a separate network.</div><div dir="auto"><br></div><div dir="auto">I do have proxy arp configured on the VPN box, already. Not sure if that clobbers things.</div><div dir="auto"><br></div><div dir="auto">I am running BGP on the box too, and injecting the route to the <a href="http://192.168.152.0/24">192.168.152.0/24</a> network via the on-wire interface. Would dynamic routing cause any interference?</div><div dir="auto"><br></div><div dir="auto">Thanks and happy new year,</div><div dir="auto"><br></div><div dir="auto">Brendan</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Dec 29, 2022, 6:44 PM Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Wed, 21 Dec 2022, Brendan Kearney wrote:<br>
<br>
> Subject: [Swan] Tunnel is up, but getting udp port xxxx unreachable<br>
<br>
> connecting client is seen replying with ICMP udp port unreachable messages:<br>
<br>
> VPN Server config:<br>
> conn rac<br>
>     leftsubnet=<a href="http://0.0.0.0/0" rel="noreferrer noreferrer" target="_blank">0.0.0.0/0</a><br>
>     right=%any<br>
>     rightaddresspool=192.168.152.50-192.168.152.99<br>
<br>
[...]<br>
<br>
> VPN Client config:<br>
> conn rac<br>
>     left=%defaultroute<br>
>     leftsubnet=<a href="http://0.0.0.0/0" rel="noreferrer noreferrer" target="_blank">0.0.0.0/0</a><br>
>     leftmodecfgclient=yes<br>
>     # Remote Definitions<br>
>     right=host.domain.tld<br>
>     rightid=192.168.152.254<br>
>     rightsubnet=<a href="http://0.0.0.0/0" rel="noreferrer noreferrer" target="_blank">0.0.0.0/0</a><br>
<br>
You are handing out IPs in the same /24 as the LAN itself? That might<br>
cause problems if machines in the LAN are a true /24. You would need<br>
proxyarp and what not and it complicates things.<br>
<br>
I'd recommend splitting of the addresspool into a real seperate network.<br>
<br>
Paul<br>
</blockquote></div>