I got it to work using the following syntax. xauth-eap plugin was not loaded.<div class="im"><br>conn rw-ikev1<br>        keyexchange=ikev1<br>        aggressive=yes<br>        left=172.16.20.2<br>        leftid=<a href="http://local.net" target="_blank">local.net</a><br>

        leftsubnet=<a href="http://172.16.40.0/24" target="_blank">172.16.40.0/24</a><br>
        rightid=<a href="http://remote.net" target="_blank">remote.net</a><br>        right=%any<br>       <span style="color:rgb(204,0,0)"> leftauth=psk<br>        rightauth=psk<br>        rightauth2=xauth-eap</span><br>

        rightsourceip=<a href="http://192.16.80.10/24" target="_blank">192.16.80.10/24</a><br>
        auto=add<br></div>Thanks!<br>Jordan.<div class="yj6qo ajU"><div id=":1bz" class="ajR" tabindex="0"><img class="ajT" src="https://mail.google.com/mail/images/cleardot.gif"></div></div><br><br><div class="gmail_quote">
On Fri, Sep 7, 2012 at 2:23 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi Jordan,<br>
<br>
here is an xauth-eap example:<br>
<br>
<a href="http://www.strongswan.org/uml/testresults/ikev1/xauth-rsa-eap-md5-radius/" target="_blank">http://www.strongswan.org/uml/<u></u>testresults/ikev1/xauth-rsa-<u></u>eap-md5-radius/</a><br>
<br>
Please make sure that you enable all the required plugins.<br>
<br>
Regards<br>
<br>
Andreas<div class="im"><br>
<br>
On 09/07/2012 10:33 PM, yordanos beyene wrote:<br>
</div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">
Thank you Andreas. I have successful IKEv2 remote vpn connection from<br>
Win7 machine with eap-radius.<br>
<br>
But I am having some difficulty getting IKEv1 xauth to work with Radius.<br>
<br>
Is there a similar example for IKEv1 + psk/cert + xauth  with Radius?<br>
<br>
When I configure connection as follows, it works for xauth users in<br>
local - ipsec.secrets. It doesn't attempt external radius.<br>
<br>
conn rw-ikev1<br>
         keyexchange=ikev1<br>
         left=172.16.20.2<br></div>
         leftid=<a href="http://local.net" target="_blank">local.net</a> <<a href="http://local.net" target="_blank">http://local.net</a>><br>
         leftsubnet=<a href="http://172.16.40.0/24" target="_blank">172.16.40.0/24</a> <<a href="http://172.16.40.0/24" target="_blank">http://172.16.40.0/24</a>><br>
         rightid=<a href="http://remote.net" target="_blank">remote.net</a> <<a href="http://remote.net" target="_blank">http://remote.net</a>><br>
         right=%any<br>
authby=xauthpsk<br>
         xauth=server<br>
         rightsourceip=<a href="http://192.16.80.10/24" target="_blank">192.16.80.10/24</a> <<a href="http://192.16.80.10/24" target="_blank">http://192.16.80.10/24</a>><div class="im"><br>
         auto=add<br>
<br>
When I use the configuration below, I  get the an error :<br>
  Sep  8 02:57:40 02[CFG] no XAuth method found named 'eap'<br>
<br>
conn rw-ikev1<br>
         keyexchange=ikev1<br>
         aggressive=yes<br>
         left=172.16.20.2<br></div>
         leftid=<a href="http://local.net" target="_blank">local.net</a> <<a href="http://local.net" target="_blank">http://local.net</a>><br>
         leftsubnet=<a href="http://172.16.40.0/24" target="_blank">172.16.40.0/24</a> <<a href="http://172.16.40.0/24" target="_blank">http://172.16.40.0/24</a>><br>
         rightid=<a href="http://remote.net" target="_blank">remote.net</a> <<a href="http://remote.net" target="_blank">http://remote.net</a>><br>
         right=%any<br>
leftauth=psk<br>
         rightauth=psk<br>
         rightauth2=xauth-eap<br>
         rightsourceip=<a href="http://192.16.80.10/24" target="_blank">192.16.80.10/24</a> <<a href="http://192.16.80.10/24" target="_blank">http://192.16.80.10/24</a>><div class="im"><br>
         auto=add<br>
<br>
I appreciate any help.<br>
<br>
Thanks!<br>
<br>
Jordan<br>
<br>
I am now trying<br>
         leftauth=psk<br>
         rightauth=psk<br>
         rightauth2=xauth-eap<br>
<br>
<br>
<br>
On Thu, Sep 6, 2012 at 10:06 AM, Andreas Steffen<br></div>
<<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.<u></u>org</a> <mailto:<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@<u></u>strongswan.org</a>>><div>
<div class="h5"><br>
wrote:<br>
<br>
    Hi,<br>
<br>
    the configuration of the EAP RADIUS interface goes into<br>
    /etc/strongswan.conf. Please have a look at our detailed HOWTO<br>
<br>
    <a href="http://wiki.strongswan.org/projects/strongswan/wiki/EapRadius" target="_blank">http://wiki.strongswan.org/<u></u>projects/strongswan/wiki/<u></u>EapRadius</a><br>
<br>
    or the simple example<br>
<br>
    <a href="http://www.strongswan.org/uml/testresults/ikev2/rw-eap-md5-id-radius/moon.strongswan.conf" target="_blank">http://www.strongswan.org/uml/<u></u>testresults/ikev2/rw-eap-md5-<u></u>id-radius/moon.strongswan.conf</a><br>

<br>
    Best regards<br>
<br>
    Andreas<br>
<br>
    On 09/05/2012 06:01 AM, yordanos beyene wrote:<br>
     > Hi Again,<br>
     ><br>
     > In fact I see eap-radius configuration in strongswan.conf in not<br>
    picked up.<br>
     >           Sep  5 10:42:01 00[CFG] loaded 0 RADIUS server<br>
    configurations<br>
     ><br>
     > See the log below when I just started ipsec. I appreciate any<br>
    tips why<br>
     > Radius server configuration is not loaded.<br>
     ><br>
     > Sep  5 10:42:01 00[DMN] Starting IKE charon daemon (strongSwan 5.0.0,<br>
     > Linux 2.6.34, x86_64)<br>
     > Sep  5 10:42:01 00[KNL] listening on interfaces:<br>
     > Sep  5 10:42:01 00[KNL]   fpn0<br>
     > Sep  5 10:42:01 00[KNL]     fe80::200:46ff:fe50:4e00<br>
     > Sep  5 10:42:01 00[KNL]   ethernet1<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b96<br>
     > Sep  5 10:42:01 00[KNL]   ethernet2<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b97<br>
     > Sep  5 10:42:01 00[KNL]   ethernet3<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b98<br>
     > Sep  5 10:42:01 00[KNL]   ethernet4<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b99<br>
     > Sep  5 10:42:01 00[KNL]   ethernet5<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b9a<br>
     > Sep  5 10:42:01 00[KNL]   ethernet6<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b9b<br>
     > Sep  5 10:42:01 00[KNL]   ethernet7<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b9c<br>
     > Sep  5 10:42:01 00[KNL]   ethernet8<br>
     > Sep  5 10:42:01 00[KNL]     fe80::210:f3ff:fe24:5b9d<br>
     > Sep  5 10:42:01 00[CFG] loaded 0 RADIUS server configurations<br>
     > Sep  5 10:42:01 00[CFG] loading ca certificates from<br>
    '/etc/ipsec.d/cacerts'<br>
     > Sep  5 10:42:01 00[CFG] loading aa certificates from<br>
    '/etc/ipsec.d/aacerts'<br>
     > Sep  5 10:42:01 00[CFG] loading ocsp signer certificates from<br>
     > '/etc/ipsec.d/ocspcerts'<br>
     > Sep  5 10:42:01 00[CFG] loading attribute certificates from<br>
     > '/etc/ipsec.d/acerts'<br>
     > Sep  5 10:42:01 00[CFG] loading crls from '/etc/ipsec.d/crls'<br>
     > Sep  5 10:42:01 00[CFG] loading secrets from '/etc/ipsec.secrets'<br>
     > ....<br>
     > Thanks!<br>
     > Jordan.<br>
     > On Tue, Sep 4, 2012 at 11:03 AM, yordanos beyene<br>
    <<a href="mailto:yordanosb@gmail.com" target="_blank">yordanosb@gmail.com</a> <mailto:<a href="mailto:yordanosb@gmail.com" target="_blank">yordanosb@gmail.com</a>><br></div></div><div><div class="h5">
     > <mailto:<a href="mailto:yordanosb@gmail.com" target="_blank">yordanosb@gmail.com</a> <mailto:<a href="mailto:yordanosb@gmail.com" target="_blank">yordanosb@gmail.com</a>>>> wrote:<br>
     ><br>
     >     Hi SS team,<br>
     ><br>
     >     I finally resolved the SS5 kernel error with Martin tips, and<br>
    charon<br>
     >     is up and running. I can establish site-to-site tunnels with<br>
    IKEv1<br>
     >     and IKev2. Remote vpn works with users authenticated locally.<br>
    But I<br>
     >     can't get users to authenticate via eap-radius.<br>
     ><br>
     >     Here is the error message:<br>
     >     Sep  5 01:11:47 15[IKE] received EAP identity 'jordan'<br>
     >     Sep  5 01:11:47 15[IKE] loading EAP_RADIUS method failed<br>
     ><br>
     >     Can you please provide me any tips? Did I miss any plugins?<br>
     ><br>
     >     I have included vpn logs and configuration details below.<br>
     ><br>
     >     Thanks as always for your help.<br>
     ><br>
     >     Jordan.<br>
     >     vpn.log:<br>
     ><br>
     >     Sep  5 01:11:36 00[DMN] loaded plugins: charon random nonce x509<br>
     >     revocation constraints pubkey pkcs1 pkcs8 pgp dnskey pem xcbc<br>
    cmac<br>
     >     hmac attr kernel-netlink resolve socket-default stroke updown<br>
     >     xauth-generic xauth-eap openssl eap-identity sha1 fips-prf<br>
     >     eap-mschapv2 eap-radius eap-md5 eap-aka eap-aka-3gpp2<br>
     >     eap-simaka-pseudonym eap-simaka-reauth<br>
     >     Sep  5 01:11:36 00[JOB] spawning 16 worker threads<br>
     >     Sep  5 01:11:36 14[CFG] received stroke: add connection<br>
    'rw-ikev2'<br>
     >     Sep  5 01:11:36 14[CFG]   loaded certificate "C=US, ST=CA, O=RS,<br>
     >     OU=SPG, CN=<a href="http://zeus.test.com" target="_blank">zeus.test.com</a> <<a href="http://zeus.test.com" target="_blank">http://zeus.test.com</a>><br>
    <<a href="http://zeus.test.com" target="_blank">http://zeus.test.com</a>>, E=<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a> <mailto:<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a>><br>
</div></div>
     >     <mailto:<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a> <mailto:<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a>>>" from 'zeus2.pem'<div class="im">
<br>
     >     Sep  5 01:11:36 14[CFG] added configuration 'rw-ikev2'<br>
     >     Sep  5 01:11:36 14[CFG] adding virtual IP address pool<br>
    'rw-ikev2':<br></div>
     > <a href="http://192.16.80.10/24" target="_blank">192.16.80.10/24</a> <<a href="http://192.16.80.10/24" target="_blank">http://192.16.80.10/24</a>> <<a href="http://192.16.80.10/24" target="_blank">http://192.16.80.10/24</a>><div>
<div class="h5"><br>
     >     Sep  5 01:11:47 12[NET] received packet: from<br>
    172.16.50.20[500] to<br>
     >     172.16.20.2[500]<br>
     >     Sep  5 01:11:47 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No<br>
     >     N(NATD_S_IP) N(NATD_D_IP) ]<br>
     >     Sep  5 01:11:47 12[IKE] 172.16.50.20 is initiating an IKE_SA<br>
     >     Sep  5 01:11:47 12[ENC] generating IKE_SA_INIT response 0 [<br>
    SA KE No<br>
     >     N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>
     >     Sep  5 01:11:47 12[NET] sending packet: from 172.16.20.2[500] to<br>
     >     172.16.50.20[500]<br>
     >     Sep  5 01:11:47 10[NET] received packet: from<br>
    172.16.50.20[4500] to<br>
     >     172.16.20.2[4500]<br>
     >     Sep  5 01:11:47 10[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ<br>
     >     N(MOBIKE_SUP) CP(ADDR DNS NBNS SRV) SA TSi TSr ]<br>
     >     Sep  5 01:11:47 10[IKE] received 34 cert requests for an<br>
    unknown ca<br>
     >     Sep  5 01:11:47 10[CFG] looking for peer configs matching<br>
     >     172.16.20.2[%any]...172.16.50.<u></u>20[172.16.50.20]<br>
     >     Sep  5 01:11:47 10[CFG] selected peer config 'rw-ikev2'<br>
     >     Sep  5 01:11:47 10[IKE] initiating EAP_IDENTITY method (id 0x00)<br>
     >     Sep  5 01:11:47 10[IKE] peer supports MOBIKE, but disabled in<br>
    config<br>
     >     Sep  5 01:11:47 10[IKE] authentication of '<a href="http://zeus.hp.com" target="_blank">zeus.hp.com</a><br>
    <<a href="http://zeus.hp.com" target="_blank">http://zeus.hp.com</a>><br>
     >     <<a href="http://zeus.hp.com" target="_blank">http://zeus.hp.com</a>>' (myself) with RSA signature successful<br>
     >     Sep  5 01:11:47 10[IKE] sending end entity cert "C=US, ST=CA,<br>
    O=RS,<br>
     >     OU=SPG, CN=<a href="http://zeus.test.com" target="_blank">zeus.test.com</a> <<a href="http://zeus.test.com" target="_blank">http://zeus.test.com</a>><br></div></div><div class="im">
    <<a href="http://zeus.test.com" target="_blank">http://zeus.test.com</a>>, E=<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a> <mailto:<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a>><br>
</div>
     >     <mailto:<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a> <mailto:<a href="mailto:zeus@test.com" target="_blank">zeus@test.com</a>>>"<div><div class="h5"><br>
     >     Sep  5 01:11:47 10[ENC] generating IKE_AUTH response 1 [ IDr CERT<br>
     >     AUTH EAP/REQ/ID ]<br>
     >     Sep  5 01:11:47 10[NET] sending packet: from 172.16.20.2[4500] to<br>
     >     172.16.50.20[4500]<br>
     >     Sep  5 01:11:47 15[NET] received packet: from<br>
    172.16.50.20[4500] to<br>
     >     172.16.20.2[4500]<br>
     >     Sep  5 01:11:47 15[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]<br>
     >     Sep  5 01:11:47 15[IKE] received EAP identity 'jordan'<br>
     >     Sep  5 01:11:47 15[IKE] loading EAP_RADIUS method failed<br>
     >     Sep  5 01:11:47 15[ENC] generating IKE_AUTH response 2 [<br>
    EAP/FAIL ]<br>
     >     Sep  5 01:11:47 15[NET] sending packet: from 172.16.20.2[4500] to<br>
     >     172.16.50.20[4500]<br>
     ><br>
     >     ipsec.conf<br>
     ><br>
     >     # /etc/ipsec.conf - strongSwan IPsec configuration file<br>
     ><br>
     >     config setup<br>
     ><br>
     >     conn %default<br>
     >             ikelifetime=60m<br>
     >             keylife=20m<br>
     >             rekeymargin=3m<br>
     >             keyingtries=1<br>
     >             authby=secret<br>
     >             mobike=no<br>
     ><br>
     >     conn rw-ikev2<br>
     >             keyexchange=ikev2<br>
     >             left=172.16.20.2<br>
     >             leftcert=zeus2.pem<br>
     >             leftid=@<a href="http://zeus.test.com" target="_blank">zeus.test.com</a> <<a href="http://zeus.test.com" target="_blank">http://zeus.test.com</a>><br>
    <<a href="http://zeus.test.com" target="_blank">http://zeus.test.com</a>><br>
     >             leftauth=pubkey<br>
     >             leftsubnet=<a href="http://172.16.40.0/24" target="_blank">172.16.40.0/24</a> <<a href="http://172.16.40.0/24" target="_blank">http://172.16.40.0/24</a>><br>
    <<a href="http://172.16.40.0/24" target="_blank">http://172.16.40.0/24</a>><br>
     >             right=%any<br>
     >             rightsourceip=<a href="http://192.16.80.10/24" target="_blank">192.16.80.10/24</a><br></div></div>
    <<a href="http://192.16.80.10/24" target="_blank">http://192.16.80.10/24</a>> <<a href="http://192.16.80.10/24" target="_blank">http://192.16.80.10/24</a>><br>
     >             rightauth=eap-radius<br>
     >             eap_identity=%any<br>
     >             auto=add<br>
</blockquote><div class="HOEnZb"><div class="h5">
==============================<u></u>==============================<u></u>==========<br>
Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a><br>
strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org" target="_blank">www.strongswan.org</a><br>
Institute for Internet Technologies and Applications<br>
University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>
==============================<u></u>=============================[<u></u>ITA-HSR]==<br>
</div></div></blockquote></div><br>