<div dir="ltr">Hi Martin,<div><br></div><div>It seems that the xauth-noauth plugin works when the iOS device is configured to use xauth. It did not work for us when the profile installed on the iOS device has XAuth disabled. Is this the expected behavior? </div><div><br></div><div>We have many iOS devices that have xauth disabled in the profile, via an MDM and we will have to update these devices to enable xauth, if we have to use the xauth-noauth plugin. These iOS devices also sometimes connect to a 4.6.x strongswan. Does the the xauth-noauth plugin will work on 4.6.x version of strongswan?<br></div><div><br></div><div><div>When xauth is disabled on the iOS devices, and because the xauth-noauth plugin did not work, the only way we can get the iOS devices to successfully connect to strongswan responder seems to be by defining modecfg=push.</div><div><br></div></div><div>regards,</div><div>sk</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 7, 2015 at 12:28 AM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<span class=""><br>
> for an actual iOS device, it seems that I have to define modecfg=push,<br>
</span><span class="">> otherwise the iOS device connection fails (or hangs). We disable xauth<br>
> on the iOS device from the profile, but the iOS device still seems to<br>
> need a trigger to send its modecfg request message.<br>
<br>
</span>Sending a Mode Config push to satisfy the clients XAuth request is<br>
certainly not advisable. The messages are very similar, but the purpose<br>
is completely different. You really should use Mode Config pull for<br>
Apple devices.<br>
<span class=""><br>
> As regards to the xauth-noauth plugin, when we tested with it, we still ran<br>
> into the same problem. We do turn off xauth in the iOS profile installed on<br>
> the phone, but iOS has a bug in 8.x version of their software and they do<br>
> not honor it. There is a bug against apple for this, but I am not sure if<br>
> this has been fixed. But we still ran into the same problem with the<br>
> modecfg when we used the plugin.<br>
<br>
</span>As Tobias suggested, you should use xauth-noauth plugin. It has been<br>
written exactly for these issues. It allows your client to expect that<br>
XAuth authentication, and you won't need that abused Push Mode for that.<br>
<br>
After XAuth has completed, the client triggers Mode Config in Pull mode,<br>
and strongSwan should be configured to accept that. This is the much<br>
cleaner approach than abusing Push mode to satisfy the XAuth exchange<br>
required by the client. If xauth-noauth does not work, I recommend to<br>
investigate on that.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br></div>