HI Dmitry,<br><br>It looks like a problem on the radius side. I know I had to modify the source code to add a NAS Identifier AVP to the Radius-Request to make my AAA Server happy. [Note I'm not using FreeRadius I'm using my own AAA]<br>
<br>I think you'll need to look at the AAA logfile to see why it's rejecting the request. If you have a pcap file of the radius transaction I can take a look and make sure it's similar to mine.<br><br>cheers<br>
AlanE<br><br><div class="gmail_quote">2011/7/5 <a href="mailto:einstein@smtp.ru">einstein@smtp.ru</a> <span dir="ltr"><<a href="mailto:einstein@smtp.ru">einstein@smtp.ru</a>></span><br><blockquote class="gmail_quote" style="margin: 0pt 0pt 0pt 0.8ex; border-left: 1px solid rgb(204, 204, 204); padding-left: 1ex;">
<u></u>
<div bgcolor="#ffffff" text="#000000">
Hello, Alan<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">Thank
you</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">for your reply.</span></span><br>
<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">I've
tried various</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">configurations
and</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">got</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">different
results</span><span title="Нажмите, чтобы увидеть альтернативный перевод">, but neither</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">result
was not</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">desirable.</span></span><br>
ipsec.conf:<br>
<br>
config setup<br>
strictcrlpolicy=no<br>
plutostart=no<br>
<br>
conn %default<br>
ikelifetime=60m<br>
keylife=20m<br>
rekeymargin=3m<br>
keyingtries=1<br>
keyexchange=ikev2<br>
<br>
conn rw-eap<br>
left=83.149.6.20<br>
leftsubnet=<a href="http://10.0.0.0/24" target="_blank">10.0.0.0/24</a><br>
#leftid=@<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a><br>
#leftcert=moonCert.pem<br>
#leftauth=pubkey<br>
leftfirewall=yes<br>
#rightid=*@<a href="http://strongswan.org" target="_blank">strongswan.org</a><br>
rightauth=eap-radius<br>
#eap_identity=%any<br>
rightsendcert=never<br>
right=%any<br>
auto=add<br>
strongswan.conf:<br>
<br>
charon {<br>
load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509
revocation hmac xcbc stroke kernel-netlink socket-default fips-prf
eap-radius eap-identity updown<br>
plugins {<br>
eap-radius {<br>
secret = secret<br>
server = 10.255.2.70<br>
}<br>
}<br>
filelog {<br>
/usr/local/strongswan/logs/charon.log {<br>
# add a timestamp prefix<br>
time_format = %b %e %T<br>
# loggers to files also accept the append option to open
files in<br>
# append mode at startup (default is yes)<br>
append = no<br>
# the default loglevel for all daemon subsystems (defaults
to 1).<br>
default = 4<br>
# flush each line to disk<br>
flush_line = yes<br>
}<br>
}<br>
}<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">With</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">this
configuration</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">Strongswan</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">sends
packets to</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">RADIUS-</span><span title="Нажмите, чтобы увидеть альтернативный перевод">server,
but in this packets there are no </span></span>necessary data.<br>
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">If i
configure</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">Strongswan,</span>
<span title="Нажмите, чтобы увидеть альтернативный перевод">as
described</span> <span title="Нажмите, чтобы увидеть альтернативный перевод">here</span></span>(<a href="https://lists.strongswan.org/pipermail/users/2011-May/006231.html" target="_blank">https://lists.strongswan.org/pipermail/users/2011-May/006231.html</a>,
<span lang="en"><span title="Нажмите, чтобы увидеть альтернативный перевод">third
link-</span></span>->rw-eap-sim-id-radius), no packets sends to
RADIUS-server.<br><font color="#888888">
<br>
-- <br>
Best regards, Dmitry.<br>
<br>
Alan Evans пишет:
</font><div><div></div><div class="h5"><blockquote type="cite">Hi Dmitry,<br>
<br>
I have this working in my setup. <br>
<br>
If you send me your ipsec.conf file and log file I will take a quick
look.<br>
<br>
Set charondebug = "ike 3, cfg 3, net 3, knl 3" in the ipsec.conf file
so we get some debug info.<br>
<br>
cheers<br>
AlanaE<br>
<br>
<div class="gmail_quote">2011/7/5 <a href="mailto:einstein@smtp.ru" target="_blank">einstein@smtp.ru</a> <span dir="ltr"><<a href="mailto:einstein@smtp.ru" target="_blank">einstein@smtp.ru</a>></span><br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello,<br>
<br>
Dear developers, help me, please.<br>
Is it possible to configure Strongswan to work according to the
attached diagram.<br>
In short: I need to configure authorization for the IKEv2 with EAP-SIM
with RADIUS-server.<br>
I can't do it yet.<br>
I take dumps of each packet exchange and decrypts it using Wireshark.<br>
Dump shows that information request from strongswan to client does not
occur, and to the radius are sent information from the first packet
IKE_AUTH.<br>
For the RADIUS-server does not receive the necessary data, it return
'Access-Reject', and in response packet 'IKE_AUTH' Strongswan sent
'EAP-FAILURE' and terminates the connection.<br>
<br>
I will be very grateful for any help.<br>
<br>
-- <br>
Best regards, Dmitry.<br>
<br>
---------------------------------------------------------------------------------------------------<br>
<br>
Здравствуйте,<br>
<br>
Уважаемые разработчики, помогите, пожалуйста, разобраться.<br>
Возможно ли настроить strongswan, чтобы он работал согласно приложенной
схемы.<br>
Вкратце: мне нужно настроить IKEv2 с авторизацией по EAP-SIM с
RADIUS-сервером.<br>
Пока у меня никак не получается это сделать.<br>
Я снимаю дампы каждого обмена пакетами и расшифровываю их с помощью
wireshark.<br>
По дампам видно, что запроса информации у клиента не происходит, а на
радиус отправляется информация из первого пакета 'IKE_AUTH'.<br>
Так как RADIUS-сервер не получает необходимых данных, он отвечает
'Access-Reject', и в ответном пакете 'IKE_AUTH' Strongswan посылает
'EAP-FAILURE' и завершает соединение.<br>
<br>
Буду очень признателен за любую помощь.<br>
<font color="#888888"><br>
-- <br>
С Уважением, Дмитрий.<br>
<br>
</font><br>
_______________________________________________<br>
Users mailing list<br>
<a href="mailto:Users@lists.strongswan.org" target="_blank">Users@lists.strongswan.org</a><br>
<a href="https://lists.strongswan.org/mailman/listinfo/users" target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>
</blockquote>
</div>
<br>
</blockquote>
</div></div></div>
</blockquote></div><br>