<div dir="ltr"><div><div><div><div><div><div><div><div><div>Thanks for your responses,<br><br></div></div>I still have one question which is not very clear in my mind. <br><br></div>Does this patch allows Subnet-to-Subnet Transport Mode or Does it allows Host-to-Subnet Transport Mode? <br><br></div>The scenario I want to test is the Following:<br><br></div>Subnet A  ------    Strongswan GW ---------------  WAN Netwroking ---------------- Strongswan GW ---------------  Subnet B.<br><br></div>In this particular use case, is it possible to create a single Transport Mode IKEv2/IPsec session between both Strongswan's Gateways so both subnets can communicate securely? <br><br></div>Is there going to be a single IKEv2 session with several IPsec_SAs concerning every single host within subnets? <br></div>If several IPsec_SA are created then I guess there will be a lot a keys negotiatied to secure communications among all host within the subnets. <br><br></div><div>Sorry, I probably had to ask this question on the other Mailing-List ;) <br></div><div><br><br></div>Thanks a lot,<br><div><div><div><div><div><br><div><div><div><div></div></div></div></div></div></div></div></div></div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">Daniel Palomares<br><br></div></div></div>
<br><div class="gmail_quote">2015-07-22 12:14 GMT+02:00 Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Stuart,<br>
<span class=""><br>
> One possible trigger could be<br>
</span>> right=%subnet which would point the administrator to the correct<br>
> configuration directive.<br>
<br>
If you literally mean %subnet (and not %<subnet definition>, which is<br>
used for the "allow any" functionality) then that might work, although<br>
there is still the problem that the syntax for the two options is<br>
different (but we could probably strip stuff like protocol/port and skip<br>
%dynamic and apply that as `right`).  Thanks for the suggestion, I'll<br>
look into this.<br>
<span class=""><br>
> I've done some more testing, and so far the updated trap-any branch<br>
</span>> works well...<br>
<br>
Thanks for testing.  I suspect there might be some issues during<br>
reauthentication or if dpdaction=restart is used (although these might<br>
be resolved by the changes in the remote-host-fallback branch, at least<br>
if right=%any is used, or no single addresses would be listed in<br>
`rightsubnet` with right=%subnet).<br>
<span class=""><br>
> (*) If the secret is specified per-host, rather than for the range,<br>
> strongswan does work as a responder. E.G.<br>
</span><span class="">>    <a href="http://192.168.122.0/24" rel="noreferrer" target="_blank">192.168.122.0/24</a> : PSK "mysecret"<br>
> does not work while<br>
>    192.168.122.70 : PSK "mysecret"<br>
> works, albeit only for that specific remote.<br>
<br>
</span>Correct, there is no matching for IP address identities.  See my email<br>
to Daniel for details.<br>
<div class="HOEnZb"><div class="h5"><br>
Regards,<br>
Tobias<br>
<br>
_______________________________________________<br>
Dev mailing list<br>
<a href="mailto:Dev@lists.strongswan.org">Dev@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/dev" rel="noreferrer" target="_blank">https://lists.strongswan.org/mailman/listinfo/dev</a><br>
</div></div></blockquote></div><br></div>