Thanks Martin - glad to know that these are abstruse corner cases.<br><br><br>In the interest saving hair-pulling from others I am sharing here my StrongSwan to IOS 15.1 IKEv2 setup. I am not using any EAP on the IOS side.<br>
<br><br>!--- StrongSwan Roadwarrior to IOS 15.1 headend<br>conn roadw<br>    left=%defaultroute<br>    leftsourceip=%config<br>    leftcert=mycert.crt<br>    right=1.2.3.4<br>    rightsubnet=<a href="http://192.168.10.0/24,192.168.11.0/24">192.168.10.0/24,192.168.11.0/24</a><br>
    rightid="CN=IOS15"<br>    rightca="CN=IOS-CA"<br>    ike=aes256-sha1-modp1536<br>    esp=aes256-sha1<br>    auto=add<br>    authby=pubkey<br>    keyexchange=ikev2<br><br>!--- Cisco IOS 15.1 using crypto maps<br>
aaa new-model<br>aaa authorization network MYLOCAL local <br>!<br>ip local pool pool.ROADW 192.168.87.33 192.168.87.63<br>!<br>
access-list 199 permit ip 192.168.10.0 0.0.0.255 any<br>access-list 199 permit ip 192.168.11.0 0.255.255.255 any<br>!<br>crypto pki certificate map CERTMAP 10<br> subject-name co ou = roadw<br>!<br>crypto ikev2 name-mangler MANGLER<br>
 dn organization-unit<br>!<br>crypto ikev2 authorization policy ROADW<br> pool pool.ROADW<br> netmask 255.255.255.0<br> subnet-acl 199<br>!<br>crypto ikev2 proposal AES256 <br> encryption aes-cbc-256<br> integrity sha1<br>
 group 5<br>!<br>crypto ikev2 policy ROADW <br> proposal AES256<br>!<br>crypto ikev2 profile ROADW<br> match certificate CERTMAP<br> identity local dn <br> authentication local rsa-sig<br> authentication remote rsa-sig<br>
 pki trustpoint IOS-CA<br> aaa authorization group MYLOCAL name-mangler MANGLER<br>!<br>crypto dynamic-map ROADW 100<br> set ikev2-profile ROADW<br> reverse-route<br>!<br>crypto map STATIC 20000 ipsec-isakmp dynamic ROADW <br>
!<br>interface GigabitEthernet0/2<br> crypto map STATIC<br>!<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><div class="gmail_quote">On Wed, Oct 12, 2011 at 4:35 PM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org">martin@strongswan.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im">Hi,<br>
<br>
> Much to my pleasant surprise I was able to set up a RW connection to a<br>
> Cisco IOS 15.1 headend using IKEv2. Kudos so the StrongSwan team!<br>
<br>
</div>That's good to hear!<br>
<div class="im"><br>
> handling INTERNAL_IP4_NETMASK attribute failed<br>
> handling INTERNAL_IP4_SUBNET attribute failed<br>
> handling INTERNAL_IP4_SUBNET attribute failed<br>
<br>
</div>We don't interpret these attributes. Their purpose is not fully clear<br>
from the standard.<br>
<br>
The netmask could be used to define a broadcast domain, but we currently<br>
don't send broadcasts over a "routed path".<br>
<br>
The subnet attribute is superfluous, as the destination networks are<br>
negotiated using traffic selectors. There are some theoretical uses of<br>
this attribute discussed in RFC 5996 3.15.2, but we currently don't<br>
handle it at all.<br>
<br>
Best regards<br>
<font color="#888888">Martin<br>
<br>
</font></blockquote></div><br>