testing: Add ikev2/host2host-transport-nat scenario
[strongswan.git] / testing / tests / ikev2 / host2host-transport-nat / description.txt
1 An IPsec <b>transport-mode</b> connection between the natted host <b>alice</b> and gateway <b>sun</b>
2 is successfully set up. <b>leftfirewall=yes</b> automatically inserts iptables-based firewall
3 rules that let pass the decrypted IP packets. In order to test the host-to-host connection
4 <b>alice</b> pings <b>sun</b>.<br/>
5 <b>Note:</b> This scenario also demonstrates two problems with transport-mode and NAT traversal:
6 <ol>
7 <li>The client <b>venus</b> behind the same NAT as client <b>alice</b> is not able to ping <b>sun</b>
8 (even with ICMP explicitly allowed there) because the request arrives unencrypted and thus gets
9 dropped when the IPsec policies are consulted (increases the <em>XfrmInTmplMismatch</em> counter
10 in <em>/proc/net/xfrm_stat</em>).</li>
11 <li>A similar issue arises when <b>venus</b> also establishes an IPsec <b>transport-mode</b> connection to
12 <b>sun</b>, due to the conflicting IPsec policies <b>sun</b> declines such a connection.</li>
13 </ol>