<div><div>Good afternoon dear libreswan community.</div><div>I am setting up IPSec between Fortinet and my linux machine using the IKEv1 protocol.</div><div>I need to access networks 10.0.0.0/24, 10.0.1.0/24, 10.0.2.0/23, 10.0.4.0/24, 172.16.0.0/21 which are behind the Fortinet firewall. When I connect Forticlient everything works. When I connect from a Linux machine, I only have access to the 172.16.0.0/21 network.</div><div> </div><div>Output command ip r</div><div> </div><div>10.0.0.0/24 dev ipsec0 scope link src 10.0.5.2</div><div>10.0.1.0/24 dev ipsec0 scope link src 10.0.5.2</div><div>10.0.2.0/23 dev ipsec0 scope link src 10.0.5.2</div><div>10.0.4.0/24 dev ipsec0 scope link src 10.0.5.2</div><div>172.16.0.0/21 dev ipsec0 scope link src 10.0.5.2</div><div> </div><div>Output command ip x p</div><div> </div><div><div>src 10.0.5.2/32 dst 172.16.0.0/21</div><div>        dir out priority 1753303 ptype main</div><div>        tmpl src 192.168.1.128 dst <public_ip_fortinet></div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 10.0.5.2/32 dst 10.0.0.0/24</div><div>        dir out priority 1753303 ptype main</div><div>        tmpl src 192.168.1.128 dst <public_ip_fortinet></div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 10.0.5.2/32 dst 10.0.4.0/24</div><div>        dir out priority 1753303 ptype main</div><div>        tmpl src 192.168.1.128 dst <public_ip_fortinet></div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 10.0.5.2/32 dst 10.0.2.0/23</div><div>        dir out priority 1753303 ptype main</div><div>        tmpl src 192.168.1.128 dst <public_ip_fortinet></div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 10.0.5.2/32 dst 10.0.1.0/24</div><div>        dir out priority 1753303 ptype main</div><div>        tmpl src 192.168.1.128 dst <public_ip_fortinet></div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 172.16.0.0/21 dst 10.0.5.2/32</div><div>        dir fwd priority 1753303 ptype main</div><div>        tmpl src <public_ip_fortinet> dst 192.168.1.128</div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 172.16.0.0/21 dst 10.0.5.2/32</div><div>        dir in priority 1753303 ptype main</div><div>        tmpl src <public_ip_fortinet> dst 192.168.1.128</div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div> </div><div><div>I think that the problem is that there is no policy for networks 10.0.0.0/24, 10.0.1.0/24, 10.0.2.0/23, 10.0.4.0/24 similar to the network 172.16.0.0/21.</div><div> </div><div>For example such</div><div> </div><div><div>src 10.0.0.0/24 dst 10.0.5.2/32</div><div>        dir fwd priority 1753303 ptype main</div><div>        tmpl src <public_ip_fortinet> dst 192.168.1.128</div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div>src 10.0.0.0/24 dst 10.0.5.2/32</div><div>        dir in priority 1753303 ptype main</div><div>        tmpl src <public_ip_fortinet> dst 192.168.1.128</div><div>                proto esp reqid 16389 mode tunnel</div><div>        if_id 0x4000</div><div> </div><div><div>I have attached my config.</div><div>What might not be configured correctly?</div><div> </div><div><div>conn fortinet</div><div>    authby=secret</div><div>    pfs=yes</div><div>    auto=start</div><div>    compress=yes</div><div>    rekey=yes</div><div>    left=%defaultroute</div><div>    leftid=@<left_id></div><div>    leftusername=<left_username></div><div>    leftxauthclient=yes</div><div>    leftmodecfgclient=yes</div><div>    right=<public_ip_fortinet></div><div>    rightid=<public_ip_fortinet></div><div>    rightxauthserver=yes</div><div>    rightmodecfgserver=yes</div><div>    cisco-unity=no</div><div>    modecfgpull=yes</div><div>    remote-peer-type=cisco</div><div>    ignore-peer-dns=yes</div><div>    send-vendorid=yes</div><div>    dpddelay=3</div><div>    dpdtimeout=60</div><div>    dpdaction=restart</div><div>    fragmentation=yes</div><div>    encapsulation=auto</div><div>    ikev2=no</div><div>    aggressive=yes</div><div>    ipsec-interface=0</div><div>    keyexchange=ike</div><div>    ike=aes256-sha2_256;dh14</div><div>    phase2=esp</div><div>    phase2alg=aes256-sha2_256;dh14</div><div>    salifetime=24h</div><div>    type=tunnel</div><div>    ikelifetime=12h</div></div></div></div></div></div></div>