HI Dmitry,<br><br>It looks like a problem on the radius side. I know I had to modify the source code to add a NAS Identifier AVP to the Radius-Request to make my AAA Server happy. [Note I'm not using FreeRadius I'm using my own AAA]<br>
<br>I think you'll need to look at the AAA logfile to see why it's rejecting the request. If you have a pcap file of the radius transaction I can take a look and make sure it's similar to mine.<br><br>cheers<br>
AlanE<br><br><div class="gmail_quote">2011/7/5 <a href="mailto:einstein@smtp.ru">einstein@smtp.ru</a> <span dir="ltr"><<a href="mailto:einstein@smtp.ru">einstein@smtp.ru</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<u></u>


  

<div bgcolor="#ffffff" text="#000000">
Hello, Alan<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">Thank
you</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">for your reply.</span></span><br>
<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">I've
tried various</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">configurations
and</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">got</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">different
results</span><span title="Нажмите, чтобы увидеть альтернативный перевод">, but neither</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">result
was not</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">desirable.</span></span><br>
ipsec.conf:<br>
<br>
config setup<br>
        strictcrlpolicy=no<br>
        plutostart=no<br>
<br>
conn %default<br>
        ikelifetime=60m<br>
        keylife=20m<br>
        rekeymargin=3m<br>
        keyingtries=1<br>
        keyexchange=ikev2<br>
<br>
conn rw-eap<br>
        left=83.149.6.20<br>
        leftsubnet=<a href="http://10.0.0.0/24" target="_blank">10.0.0.0/24</a><br>
        #leftid=@<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a><br>
        #leftcert=moonCert.pem<br>
        #leftauth=pubkey<br>
        leftfirewall=yes<br>
        #rightid=*@<a href="http://strongswan.org" target="_blank">strongswan.org</a><br>
        rightauth=eap-radius<br>
        #eap_identity=%any<br>
        rightsendcert=never<br>
        right=%any<br>
        auto=add<br>
strongswan.conf:<br>
<br>
charon {<br>
  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509
revocation hmac xcbc stroke kernel-netlink socket-default fips-prf
eap-radius eap-identity updown<br>
  plugins {<br>
    eap-radius {<br>
      secret = secret<br>
      server = 10.255.2.70<br>
    }<br>
  }<br>
    filelog {<br>
        /usr/local/strongswan/logs/charon.log {<br>
            # add a timestamp prefix<br>
            time_format = %b %e %T<br>
            # loggers to files also accept the append option to open
files in<br>
            # append mode at startup (default is yes)<br>
            append = no<br>
            # the default loglevel for all daemon subsystems (defaults
to 1).<br>
            default = 4<br>
            # flush each line to disk<br>
            flush_line = yes<br>
        }<br>
   }<br>
}<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">With</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">this
configuration</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">Strongswan</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">sends
packets to</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">RADIUS-</span><span title="Нажмите, чтобы увидеть альтернативный перевод">server,
but in this packets there are no </span></span>necessary data.<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">If i
configure</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">Strongswan,</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">as
described</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">here</span></span>(<a href="https://lists.strongswan.org/pipermail/users/2011-May/006231.html" target="_blank">https://lists.strongswan.org/pipermail/users/2011-May/006231.html</a>, 
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">third
link-</span></span>->rw-eap-sim-id-radius), no packets sends to
RADIUS-server.<br><font color="#888888">
<br>
-- <br>
Best regards, Dmitry.<br>
<br>
Alan Evans пишет:
</font><div><div></div><div class="h5"><blockquote type="cite">Hi Dmitry,<br>
  <br>
I have this working in my setup. <br>
  <br>
If you send me your ipsec.conf file and log file I will take a quick
look.<br>
  <br>
Set charondebug = "ike 3, cfg 3, net 3, knl 3" in the ipsec.conf file
so we get some debug info.<br>
  <br>
cheers<br>
AlanaE<br>
  <br>
  <div class="gmail_quote">2011/7/5 <a href="mailto:einstein@smtp.ru" target="_blank">einstein@smtp.ru</a> <span dir="ltr"><<a href="mailto:einstein@smtp.ru" target="_blank">einstein@smtp.ru</a>></span><br>
  <blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello,<br>
    <br>
Dear developers, help me, please.<br>
Is it possible to configure Strongswan to work according to the
attached diagram.<br>
In short: I need to configure authorization for the IKEv2 with EAP-SIM
with RADIUS-server.<br>
I can't do it yet.<br>
I take dumps of each packet exchange and decrypts it using Wireshark.<br>
Dump shows that information request from strongswan to client does not
occur, and to the radius are sent information from  the first packet
IKE_AUTH.<br>
For the RADIUS-server does not receive the necessary data, it return
'Access-Reject', and in response packet 'IKE_AUTH' Strongswan sent
'EAP-FAILURE' and terminates the connection.<br>
    <br>
I will be very grateful for any help.<br>
    <br>
-- <br>
Best regards, Dmitry.<br>
    <br>
---------------------------------------------------------------------------------------------------<br>
    <br>
Здравствуйте,<br>
    <br>
Уважаемые разработчики, помогите, пожалуйста, разобраться.<br>
Возможно ли настроить strongswan, чтобы он работал согласно приложенной
схемы.<br>
Вкратце: мне нужно настроить IKEv2 с авторизацией по EAP-SIM с
RADIUS-сервером.<br>
Пока у меня никак не получается это сделать.<br>
Я снимаю дампы каждого обмена пакетами и расшифровываю их с помощью
wireshark.<br>
По дампам видно, что запроса информации у клиента не происходит, а на
радиус отправляется информация из первого пакета 'IKE_AUTH'.<br>
Так как RADIUS-сервер не получает необходимых данных, он отвечает
'Access-Reject', и в ответном пакете 'IKE_AUTH' Strongswan посылает
'EAP-FAILURE' и завершает соединение.<br>
    <br>
Буду очень признателен за любую помощь.<br>
    <font color="#888888"><br>
-- <br>
С Уважением, Дмитрий.<br>
    <br>
    </font><br>
_______________________________________________<br>
Users mailing list<br>
    <a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a><br>
    <a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>
  </blockquote>
  </div>
  <br>
</blockquote>
</div></div></div>

</blockquote></div><br>