<div dir="ltr"><div>Hello all,<br><br></div><div>I'm interested in using Transport Mode for subnets.<br></div><div><br></div><div>I found the Test Scenario description here:<br><a href="https://git.strongswan.org/?p=strongswan.git;a=commit;h=d8a5f15f6a0c7665527e2e788001d63e12790f27">https://git.strongswan.org/?p=strongswan.git;a=commit;h=d8a5f15f6a0c7665527e2e788001d63e12790f27</a><br></div><div>[ Didn't find it on: <a href="https://www.strongswan.org/testresults.html">https://www.strongswan.org/testresults.html</a> ]<br></div><div><br></div><div>And the trap manager patch here: <br><a href="https://git.strongswan.org/?p=strongswan.git;a=commit;h=7b3b674fae4ecc3ae2a1a07a1701dcf6f72b4bd7">https://git.strongswan.org/?p=strongswan.git;a=commit;h=7b3b674fae4ecc3ae2a1a07a1701dcf6f72b4bd7</a><br><br></div><div>Do I need anything else to make it work? <br></div><div><br></div><div>Correct me if I'm wrong, this only works with Certificate-based authentication (CA) and not Pre-Shared Keys (PSK)? <br></div><div><br></div><div>Thank you!<br><br></div><div>Daniel Palomares<br></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">Daniel Palomares<br><br></div></div></div>
<br><div class="gmail_quote">2015-07-16 14:56 GMT+02:00 Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Stuart,<br>
<span class=""><br>
> I've been looking at adding support for subnets when using transport<br>
> mode. In our use case, it will be far more efficient to allow users to<br>
> specify<br>
</span>>     right=<a href="http://192.168.1.128/25" rel="noreferrer" target="_blank">192.168.1.128/25</a><br>
<span class="">> instead of having to create a separate connection config for each host.<br>
> It appears that there has been some prior interest and work in this area:<br>
>   <a href="https://wiki.strongswan.org/issues/196" rel="noreferrer" target="_blank">https://wiki.strongswan.org/issues/196</a><br>
<br>
</span>I've updated the trap-any branch (based on the trap-acquire-tracking<br>
branch).  Due to the changes in 5.3.0 (reqids don't identify CHILD_SAs<br>
anymore) no additional reqids are required and no awkward SA deletion is<br>
needed anymore.  So that removes one of the reservations I had about the<br>
previous iteration of the patch.<br>
<br>
And with the above patch it is actually already possible to limit the<br>
remote hosts to specific subnets/IPs.  Just set `rightsubnet`<br>
accordingly.  I added a test scenario (ikev2/trap-any) in that branch<br>
that illustrates this (see host dave).<br>
<br>
Let me know if that works for you.<br>
<br>
Regards,<br>
Tobias<br>
<br>
_______________________________________________<br>
Dev mailing list<br>
<a href="mailto:Dev@lists.strongswan.org">Dev@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/dev" rel="noreferrer" target="_blank">https://lists.strongswan.org/mailman/listinfo/dev</a><br>
</blockquote></div><br></div>