<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=KOI8-R" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Hello, Alan<br>

<span id="result_box" class="short_text" lang="en"><span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">Thank

you</span> <span title="Нажмите, чтобы увидеть альтернативный перевод"

 class="hps">for your reply.</span></span><br>

<br>

<span id="result_box" class="" lang="en"><span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">I've

tried various</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">configurations

and</span> <span title="Нажмите, чтобы увидеть альтернативный перевод"

 class="hps">got</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">different

results</span><span class=""

 title="Нажмите, чтобы увидеть альтернативный перевод">, but neither</span>

<span title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">result

was not</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">desirable.</span></span><br>

ipsec.conf:<br>

<br>

config setup<br>

        strictcrlpolicy=no<br>

        plutostart=no<br>

<br>

conn %default<br>

        ikelifetime=60m<br>

        keylife=20m<br>

        rekeymargin=3m<br>

        keyingtries=1<br>

        keyexchange=ikev2<br>

<br>

conn rw-eap<br>

        left=83.149.6.20<br>

        leftsubnet=10.0.0.0/24<br>

        #leftid=@moon.strongswan.org<br>

        #leftcert=moonCert.pem<br>

        #leftauth=pubkey<br>

        leftfirewall=yes<br>

        #rightid=*@strongswan.org<br>

        rightauth=eap-radius<br>

        #eap_identity=%any<br>

        rightsendcert=never<br>

        right=%any<br>

        auto=add<br>

strongswan.conf:<br>

<br>

charon {<br>

  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509

revocation hmac xcbc stroke kernel-netlink socket-default fips-prf

eap-radius eap-identity updown<br>

  plugins {<br>

    eap-radius {<br>

      secret = secret<br>

      server = 10.255.2.70<br>

    }<br>

  }<br>

    filelog {<br>

        /usr/local/strongswan/logs/charon.log {<br>

            # add a timestamp prefix<br>

            time_format = %b %e %T<br>

            # loggers to files also accept the append option to open

files in<br>

            # append mode at startup (default is yes)<br>

            append = no<br>

            # the default loglevel for all daemon subsystems (defaults

to 1).<br>

            default = 4<br>

            # flush each line to disk<br>

            flush_line = yes<br>

        }<br>

   }<br>

}<br>

<span id="result_box" class="" lang="en"><span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">With</span>

<span title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">this

configuration</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">Strongswan</span>

<span title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">sends

packets to</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps atn">RADIUS-</span><span

 class="" title="Нажмите, чтобы увидеть альтернативный перевод">server,

but in this packets there are no </span></span>necessary data.<br>

<span id="result_box" class="short_text" lang="en"><span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">If i

configure</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">Strongswan,</span>

<span title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">as

described</span> <span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">here</span></span>(<a class="moz-txt-link-freetext" href="https://lists.strongswan.org/pipermail/users/2011-May/006231.html">https://lists.strongswan.org/pipermail/users/2011-May/006231.html</a>, 

<span id="result_box" class="short_text" lang="en"><span

 title="Нажмите, чтобы увидеть альтернативный перевод" class="hps">third

link-</span></span>->rw-eap-sim-id-radius), no packets sends to

RADIUS-server.<br>

<br>

-- <br>

Best regards, Dmitry.<br>

<br>

Alan Evans пишет:

<blockquote

 cite="mid:CADuP0JBdrMLZdsP4XMhuXfymGuQeJYGGa9fDG+nZOT-9N6gv2A@mail.gmail.com"

 type="cite">Hi Dmitry,<br>

  <br>

I have this working in my setup. <br>

  <br>

If you send me your ipsec.conf file and log file I will take a quick

look.<br>

  <br>

Set charondebug = "ike 3, cfg 3, net 3, knl 3" in the ipsec.conf file

so we get some debug info.<br>

  <br>

cheers<br>

AlanaE<br>

  <br>

  <div class="gmail_quote">2011/7/5 <a moz-do-not-send="true"

 href="mailto:einstein@smtp.ru">einstein@smtp.ru</a> <span dir="ltr"><<a

 moz-do-not-send="true" href="mailto:einstein@smtp.ru">einstein@smtp.ru</a>></span><br>

  <blockquote class="gmail_quote"

 style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Hello,<br>

    <br>

Dear developers, help me, please.<br>

Is it possible to configure Strongswan to work according to the

attached diagram.<br>

In short: I need to configure authorization for the IKEv2 with EAP-SIM

with RADIUS-server.<br>

I can't do it yet.<br>

I take dumps of each packet exchange and decrypts it using Wireshark.<br>

Dump shows that information request from strongswan to client does not

occur, and to the radius are sent information from  the first packet

IKE_AUTH.<br>

For the RADIUS-server does not receive the necessary data, it return

'Access-Reject', and in response packet 'IKE_AUTH' Strongswan sent

'EAP-FAILURE' and terminates the connection.<br>

    <br>

I will be very grateful for any help.<br>

    <br>

-- <br>

Best regards, Dmitry.<br>

    <br>

---------------------------------------------------------------------------------------------------<br>

    <br>

Здравствуйте,<br>

    <br>

Уважаемые разработчики, помогите, пожалуйста, разобраться.<br>

Возможно ли настроить strongswan, чтобы он работал согласно приложенной

схемы.<br>

Вкратце: мне нужно настроить IKEv2 с авторизацией по EAP-SIM с

RADIUS-сервером.<br>

Пока у меня никак не получается это сделать.<br>

Я снимаю дампы каждого обмена пакетами и расшифровываю их с помощью

wireshark.<br>

По дампам видно, что запроса информации у клиента не происходит, а на

радиус отправляется информация из первого пакета 'IKE_AUTH'.<br>

Так как RADIUS-сервер не получает необходимых данных, он отвечает

'Access-Reject', и в ответном пакете 'IKE_AUTH' Strongswan посылает

'EAP-FAILURE' и завершает соединение.<br>

    <br>

Буду очень признателен за любую помощь.<br>

    <font color="#888888"><br>

-- <br>

С Уважением, Дмитрий.<br>

    <br>

    </font><br>

_______________________________________________<br>

Users mailing list<br>

    <a moz-do-not-send="true" href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a><br>

    <a moz-do-not-send="true"

 href="https://lists.strongswan.org/mailman/listinfo/users"

 target="_blank">https://lists.strongswan.org/mailman/listinfo/users</a><br>

  </blockquote>

  </div>

  <br>

</blockquote>

</body>

</html>