testing: Updated updown scripts in libipsec scenarios to latest version
authorTobias Brunner <tobias@strongswan.org>
Wed, 23 Mar 2016 13:13:07 +0000 (14:13 +0100)
committerTobias Brunner <tobias@strongswan.org>
Wed, 23 Mar 2016 13:13:07 +0000 (14:13 +0100)
testing/tests/libipsec/host2host-cert/hosts/moon/etc/updown
testing/tests/libipsec/host2host-cert/hosts/sun/etc/updown
testing/tests/libipsec/net2net-3des/hosts/moon/etc/updown
testing/tests/libipsec/net2net-3des/hosts/sun/etc/updown
testing/tests/libipsec/net2net-cert/hosts/moon/etc/updown
testing/tests/libipsec/net2net-cert/hosts/sun/etc/updown
testing/tests/libipsec/net2net-null/hosts/moon/etc/updown
testing/tests/libipsec/net2net-null/hosts/sun/etc/updown
testing/tests/libipsec/rw-suite-b/hosts/carol/etc/updown
testing/tests/libipsec/rw-suite-b/hosts/dave/etc/updown
testing/tests/libipsec/rw-suite-b/hosts/moon/etc/updown

index f7ec064..9ca3bae 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index f7ec064..9ca3bae 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 61f6531..e7c3640 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 61f6531..e7c3640 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 61f6531..e7c3640 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 61f6531..e7c3640 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 61f6531..e7c3640 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 61f6531..e7c3640 100755 (executable)
@@ -441,6 +441,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -465,6 +473,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -504,6 +519,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -547,6 +571,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 652d17d..6a5b18d 100755 (executable)
@@ -482,6 +482,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -506,6 +514,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -545,6 +560,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -588,6 +612,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 652d17d..6a5b18d 100755 (executable)
@@ -482,6 +482,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -506,6 +514,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -545,6 +560,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -588,6 +612,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then
index 652d17d..6a5b18d 100755 (executable)
@@ -482,6 +482,14 @@ up-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed)
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection setup
        if [ $VPN_LOGGING ]
        then
@@ -506,6 +514,13 @@ down-host-v6:iptables)
            -s $PLUTO_ME $S_MY_PORT $IPSEC_POLICY_OUT \
            -d $PLUTO_PEER_CLIENT $D_PEER_PORT -j ACCEPT
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec host connection teardown
        if [ $VPN_LOGGING ]
        then
@@ -545,6 +560,15 @@ up-client-v6:iptables)
              -d $PLUTO_PEER_CLIENT $D_PEER_PORT $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # allow IP6IP6 traffic because of the implicit SA created by the kernel if
+       # IPComp is used (for small inbound packets that are not compressed).
+       # INPUT is correct here even for forwarded traffic.
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -I INPUT 1 -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection setup
        if [ $VPN_LOGGING ]
        then
@@ -588,6 +612,13 @@ down-client-v6:iptables)
                 $IPSEC_POLICY_OUT -j ACCEPT
        fi
        #
+       # IP6IP6 exception teardown
+       if [ -n "$PLUTO_IPCOMP" ]
+       then
+         ip6tables -D INPUT -i $PLUTO_INTERFACE -p 41 \
+             -s $PLUTO_PEER -d $PLUTO_ME $IPSEC_POLICY_IN -j ACCEPT
+       fi
+       #
        # log IPsec client connection teardown
        if [ $VPN_LOGGING ]
        then