
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">


<HTML><HEAD>


<META content="text/html; charset=utf-8" http-equiv=Content-Type>


<META name=GENERATOR content="MSHTML 9.00.8112.16434">


<STYLE>@font-face {


        font-family: 宋体;


}


@font-face {


        font-family: Verdana;


}


@font-face {


        font-family: @宋体;


}


@page Section1 {size: 595.3pt 841.9pt; margin: 72.0pt 90.0pt 72.0pt 90.0pt; layout-grid: 15.6pt; }


P.MsoNormal {


        TEXT-JUSTIFY: inter-ideograph; TEXT-ALIGN: justify; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"; FONT-SIZE: 10.5pt


}


LI.MsoNormal {


        TEXT-JUSTIFY: inter-ideograph; TEXT-ALIGN: justify; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"; FONT-SIZE: 10.5pt


}


DIV.MsoNormal {


        TEXT-JUSTIFY: inter-ideograph; TEXT-ALIGN: justify; MARGIN: 0cm 0cm 0pt; FONT-FAMILY: "Times New Roman"; FONT-SIZE: 10.5pt


}


A:link {


        COLOR: blue; TEXT-DECORATION: underline


}


SPAN.MsoHyperlink {


        COLOR: blue; TEXT-DECORATION: underline


}


A:visited {


        COLOR: purple; TEXT-DECORATION: underline


}


SPAN.MsoHyperlinkFollowed {


        COLOR: purple; TEXT-DECORATION: underline


}


SPAN.EmailStyle17 {


        FONT-STYLE: normal; FONT-FAMILY: Verdana; COLOR: windowtext; FONT-WEIGHT: normal; TEXT-DECORATION: none; mso-style-type: personal-compose


}


DIV.Section1 {


        page: Section1


}


UNKNOWN {


        FONT-SIZE: 10pt


}


BLOCKQUOTE {


        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px; MARGIN-LEFT: 2em


}


OL {


        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px


}


UL {


        MARGIN-TOP: 0px; MARGIN-BOTTOM: 0px


}


</STYLE>


</HEAD>


<BODY style="MARGIN: 10px; FONT-FAMILY: verdana; FONT-SIZE: 10pt">


<DIV><FONT size=2 face=Verdana>Hi Martin,</FONT></DIV>


<DIV> </DIV>


<DIV>Thanks for your timely reply,</DIV>


<DIV> </DIV>


<DIV><FONT color=#000080><FONT color=#000000>>A more complete log from the 


board would really help.</FONT> </FONT></DIV>


<DIV><FONT color=#000080 size=2 face=Verdana></FONT> </DIV>


<DIV>I attached the board side log as below, it's not so detailed...</DIV>


<DIV>I hope it can do a little help.</DIV>


<DIV> </DIV>


<DIV>--------#bash output#</DIV>


<DIV>


<DIV>Starting strongSwan 4.5.3 IPsec [starter]...</DIV>


<DIV>!! Your strongswan.conf contains manual plugin load options for</DIV>


<DIV>!! pluto and/or charon. This is recommended for experts only, see</DIV>


<DIV>!! http://wiki.strongswan.org/projects/strongswan/wiki/PluginLoad</DIV>


<DIV>root@picopc7802:/usr/local/etc/ipsec.d/cacerts# ipsec up home</DIV>


<DIV>initiating IKE_SA home[1] to 10.21.1.150</DIV>


<DIV>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) 


]</DIV>


<DIV>sending packet: from 10.21.1.210[500] to 10.21.1.150[500]</DIV>


<DIV>received packet: from 10.21.1.150[500] to 10.21.1.210[500]</DIV>


<DIV>parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) 


N(MULT_AUTH) ]</DIV>


<DIV>sending cert request for "C=CN, O=ict, CN=strongSwan CA"</DIV>


<DIV>establishing CHILD_SA home</DIV>


<DIV>generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr SA TSi TSr 


N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]</DIV>


<DIV>sending packet: from 10.21.1.210[4500] to 10.21.1.150[4500]</DIV>


<DIV>received packet: from 10.21.1.150[4500] to 10.21.1.210[4500]</DIV>


<DIV>parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/AKA ]</DIV>


<DIV>received end entity cert "C=CN, O=ict-gw, CN=peer"</DIV>


<DIV>using certificate "C=CN, O=ict-gw, CN=peer"</DIV>


<DIV>using trusted ca certificate "C=CN, O=ict, CN=strongSwan CA"</DIV>


<DIV>checking certificate status of "C=CN, O=ict-gw, CN=peer"</DIV>


<DIV>certificate status is not available</DIV>


<DIV>reached self-signed root ca with a path length of 0</DIV>


<DIV>authentication of 'C=CN, O=ict-gw, CN=peer' with RSA signature 


successful</DIV>


<DIV>server requested EAP_AKA authentication (id 0xBC)</DIV>


<DIV>generating IKE_AUTH request 2 [ EAP/RES/AKA ]</DIV>


<DIV>sending packet: from 10.21.1.210[4500] to 10.21.1.150[4500]</DIV>


<DIV>received packet: from 10.21.1.150[4500] to 10.21.1.210[4500]</DIV>


<DIV>parsed IKE_AUTH response 2 [ EAP/REQ/AKA ]</DIV>


<DIV>EAP_AKA MAC verification failed</DIV>


<DIV>sending client error 'unable to process packet'</DIV>


<DIV>generating IKE_AUTH request 3 [ EAP/RES/AKA ]</DIV>


<DIV>sending packet: from 10.21.1.210[4500] to 10.21.1.150[4500]</DIV>


<DIV>received packet: from 10.21.1.150[4500] to 10.21.1.210[4500]</DIV>


<DIV>parsed IKE_AUTH response 3 [ EAP/FAIL ]</DIV>


<DIV>received EAP_FAILURE, EAP authentication failed</DIV></DIV>


<DIV><FONT color=#000080></FONT> </DIV>


<DIV><FONT color=#000080>----------#log on board#</FONT></DIV>


<DIV><FONT color=#000080>


<DIV><FONT size=2 face=Verdana>


<DIV>Sep 6 19:47:00 picopc7802 authpriv.warn ipsec_starter[426]: chaRnot flush 


IPsec state/policy database</DIV>


<DIV>Sep 6 19:47:00 picopc7802 authpriv.warn ipsec_ authpriv.warn 


ipsec_starter[451]: !! 


http://wiki.rongswan.org/projects/strongswan/wiki/PluginLoad</DIV>


<DIV>Sep 6 19:47:03 picopc7802 daemon.info charon: 00[DMN] Starting IKEv2 charon 


daemon (strongSwan 4.5.3)</DIV>


<DIV>Sep 6 19:47:03 picopc7802 daemon.info charon: 00[LIB] plugin 'curl' failed 


to load: /usr/local/lib/ipsec/plugin 


'/usr/l/etc/ipsec.d/cacerts/caCert.pem'</DIV>


<DIV>Sep 6 19:47:04 picopc7802 daemon.info charon: 00[CFG] loading aa 


certificates from '/usr/local/etc/ipsec.d/aacerts'</DIV>


<DIV>Sep 6 19:47:04 picopc7802 daemon.info charon: 00[CFG] loading ocsp signer 


certificates from '/usr/local/etc/ipsec.dpts'</DIV>


<DIV>Sep 6 19:47:04 picopc7802 daemon.info charon: 00[CFG] loaded EAP secret for 


%any</DIV>


<DIV>Sep 6 19:47:04 picopc7802 daemon s: 19:47:04 picopc7802 daemon.info charon: 


00[KNL] eth0</DIV>


<DIV>Sep 19:47:04 picopc7802 daemon.info charon: 00[NET] could not open IPv6 


socket, IPv6 disabled</DIV>


<DIV>Sep 6 19:47:04 picopc7802 daemon.info charon: 00[DMN] loaded plugins: aes 


des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke 


kernel-netlink socket-default fips-prf eap-aka eap-aka:06 picopc7802 daemon.info 


charon: 1 receistroke: initiate 'home'</DIV>


<DIV>Sep 6 19:47:06 picopc7802 daemon.info charon: 13[IKE] initiating IKE_SA 


home[1] to 10.21.1.150</DIV>


<DIV>Sep 6 19:47:06 picopc7802 authpriv.info charon: 130.21.500] to 


10.21.1.210[500]</DIV>


<DIV>Sep 6 19:47:07 picopc7802 daemon.info charon: 15[ENC] parsed IKE_SA_INIT 


response 0 [ SA p07 pico802 .info charon: 15[IKE] sending cert request for 


"C=CN07 picopc7802 daemon.info charon: 15[NET] sending packet: from 


10.21.1.210[4500] to 10.21.1.150[4500]</DIV>


<DIV>Sep 6 19:47:07 picopc7802 daemon.info charon: 07[NET] received packet: from 


10.21.1.150[4500] to 10.21.1.210[4500]</DIV>


<DIV>Sep 6 19:47:07 picopc7802 daemon.info charon: 07[ENC] parsed IKE_AUTH 


response 1 [ IDr CERT AUTH EAP/REQ/AKA ]</DIV>


<DIV>Sep 6 19:47:07 picop 19:picopc7802 daemon.info charon: 07[CFG] 


checkingifaCgw, CN=r"</DIV>


<DIV>Sep 6 19:47:07 picopc7802 daemon.info charon: 07[CFG] certificate status is 


not available</DIV>


<DIV>Sep 6 19:47:07 picopc7802 daemon.info charon: 07[CFG] reached self-signed 


root ca with a path length of 0</DIV>


<DIV>Seaemon.charon: 07[NET] sending packet: from 10.21.1.2t.21.1.1500] to 


10.21.1.210[4500]</DIV>


<DIV>7ceived pet: from 10.21.1.150[4500] to 10.21.1.210[4500]</DIV>


<DIV>Sep 0802 daemoninfo charon: 12[ENC] parsed IKE_AUTH response 3 [ EAP/FAIL 


]</DIV>


<DIV>Sep 6 19:47:07 picopc7802 daemon.info charon: 12[IKE] received EAP_FAILURE, 


EAP authentication failed</DIV></FONT></DIV>


<DIV><FONT size=2 face=Verdana></FONT></DIV></FONT></DIV>


<DIV><FONT color=#000080></FONT> </DIV>


<DIV><FONT color=#000080 size=2 face=Verdana></FONT> </DIV>


<DIV><FONT color=#c0c0c0 size=2 face=Verdana>2011-09-06 </FONT></DIV><FONT 


color=#000080 size=2 face=Verdana>


<HR style="WIDTH: 100px" align=left color=#b5c4df SIZE=1>


</FONT>


<DIV><FONT color=#c0c0c0 size=2 face=Verdana><SPAN>qiqi143</SPAN> </FONT></DIV>


<HR color=#b5c4df SIZE=1>


<DIV><FONT size=2 face=Verdana><STRONG>发件人：</STRONG> Martin Willi </FONT></DIV>


<DIV><FONT size=2 face=Verdana><STRONG>发送时间：</STRONG> 2011-09-06  17:19:33 


</FONT></DIV>


<DIV><FONT size=2 face=Verdana><STRONG>收件人：</STRONG> qiqi143 </FONT></DIV>


<DIV><FONT size=2 face=Verdana><STRONG>抄送：</STRONG> users </FONT></DIV>


<DIV><FONT size=2 face=Verdana><STRONG>主题：</STRONG> Re: [strongSwan] received 


EAP-AKA client error 'unable to processpacket' </FONT></DIV>


<DIV><FONT size=2 face=Verdana></FONT> </DIV>


<DIV><FONT size=2 face=Verdana>


<DIV>Hi,</DIV>


<DIV></DIV>


<DIV>> daemon log shows "client error 'unable to process packet'", board side</DIV>


<DIV>> cann't log, it outputs something like 'MAC' error...</DIV>


<DIV></DIV>


<DIV>The error condition occurs on your board, probably because the MAC</DIV>


<DIV>calculated for authentication does not match. A more complete log from</DIV>


<DIV>the board would really help. Either your secrets don't match or maybe</DIV>


<DIV>there is a bug in the AKA algorithm on your platform.</DIV>


<DIV></DIV>


<DIV>> I used cross-compilation to install strongswan onto the arm board, and</DIV>


<DIV>> didn't enable padlock option, could that be the reason?</DIV>


<DIV>> however, it's a pity that it'll show error message "impossible</DIV>


<DIV>> constraint in 'asm'" during 'Make' phase if padlock option enabled.</DIV>


<DIV></DIV>


<DIV>Padlock is a crypto plugin for VIA x86 processors, it does not work on</DIV>


<DIV>ARM.</DIV>


<DIV></DIV>


<DIV>Regards</DIV>


<DIV>Martin</DIV>


<DIV></DIV>


<DIV></DIV>


<DIV>.</DIV></FONT></DIV></BODY></HTML>