
Hi Andreas,<br>Thanks for the quick reply. It solve the problem.<br>Now at the Android:<br><br># ipsec stroke status<br><div style="margin-left: 40px;">uname: not found<br>uname: not found<br>[: not found<br>Security Associations (1 up, 0 connecting):<br>

     android[2]: ESTABLISHED 6 minutes ago, 192.168.1.2[192.168.1.2]...192.168.1.154[192.168.1.154]<br>     android{1}:  INSTALLED, TUNNEL, ESP SPIs: c5974d0b_i c8a59239_o<br>     android{1}:   <a href="http://192.168.1.2/32">192.168.1.2/32</a> === <a href="http://192.168.1.154/32">192.168.1.154/32</a> <br>

# <br></div><br># ipsec stroke up android<br><div style="margin-left: 40px;">uname: not found<br>uname: not found<br>[: not found<br>initiating IKE_SA android[2] to 192.168.1.154<br>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br>

sending packet: from 192.168.1.2[500] to 192.168.1.154[500]<br>received packet: from 192.168.1.154[500] to 192.168.1.2[500]<br>parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>sending cert request for "C=UK, CN=nits"<br>

establishing CHILD_SA android<br>generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr CP(DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br>sending packet: from 192.168.1.2[4500] to 192.168.1.154[4500]<br>

received packet: from 192.168.1.154[4500] to 192.168.1.2[4500]<br>parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]<br>received end entity cert "C=UK, CN=nits"<br>  using certificate "C=UK, CN=nits"<br>

  using trusted ca certificate "C=UK, CN=nits"<br>  reached self-signed root ca with a path length of 0<br>authentication of '192.168.1.154' with RSA signature successful<br>server requested EAP_IDENTITY (id 0x00), sending 'deepika'<br>

generating IKE_AUTH request 2 [ EAP/RES/ID ]<br>sending packet: from 192.168.1.2[4500] to 192.168.1.154[4500]<br>received packet: from 192.168.1.154[4500] to 192.168.1.2[4500]<br>parsed IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]<br>

server requested EAP_MSCHAPV2 authentication (id 0x79)<br>generating IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]<br>sending packet: from 192.168.1.2[4500] to 192.168.1.154[4500]<br>received packet: from 192.168.1.154[4500] to 192.168.1.2[4500]<br>

parsed IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]<br>EAP-MS-CHAPv2 succeeded: 'Welcome2strongSwan'<br>generating IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]<br>sending packet: from 192.168.1.2[4500] to 192.168.1.154[4500]<br>

received packet: from 192.168.1.154[4500] to 192.168.1.2[4500]<br>parsed IKE_AUTH response 4 [ EAP/SUCC ]<br>EAP method EAP_MSCHAPV2 succeeded, MSK established<br>authentication of '192.168.1.2' (myself) with EAP<br>

generating IKE_AUTH request 5 [ AUTH ]<br>sending packet: from 192.168.1.2[4500] to 192.168.1.154[4500]<br>received packet: from 192.168.1.154[4500] to 192.168.1.2[4500]<br>parsed IKE_AUTH response 5 [ AUTH SA TSi TSr N(AUTH_LFT) N(MOBIKE_SUP) N(NO_ADD_ADDR) ]<br>

authentication of '192.168.1.154' with EAP successful<br>IKE_SA android[2] established between 192.168.1.2[192.168.1.2]...192.168.1.154[192.168.1.154]<br>scheduling reauthentication in 3362s<br>maximum IKE_SA lifetime 3542s<br>

</div><br>I noticed that it doesn't request for virtual ip as it asked when I used the front-end related changes. Is that possible to request for the virtual ip also?<br><br>Thanks again.<br>Regards,<br>Nitin<br><br><br>

<div class="gmail_quote">On Mon, Nov 21, 2011 at 4:19 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">

Hello Nitin,<br>

<br>

your ubuntu server does not initiate EAP-Identity. Therefore<br>

the EAP-MSCHAPv2 authentication requested is for IKEv2 user<br>

identity 192.168.1.2 and not for EAP identity deepika.<br>

<br>

You should change the ubuntu server entry to<br>

<br>

eap_identity=%any<br>

<br>

and make sure that you enabled, built and loaded the eap_identity<br>

plugin.<br>

<br>

Regards<br>

<br>

Andreas<br>

<div class="im"><br>

On 21.11.2011 10:56, Nitin Verma wrote:<br>

> Hi,<br>

> I have been able to successfully establish IPSec IKEv2 tunnel between<br>

> Nexus S (running 2.3.5_r1) and a ubuntu server. However, the latest<br>

> 4.6.1 release supports starter and stroke executables at Android and I<br>

> am trying to establish the same connection using ipsec.conf and<br>

> ipsec.secrets.<br>

><br>

> My server side configuration is:<br>

> ======================<br>

><br>

</div>> server IP: /<a href="http://192.168.1.154/" target="_blank">192.168.1.154/</a><br>

<div class="im">><br>

> ipsec.conf:<br>

><br>

> config setup<br>

>         crlcheckinterval=180<br>

>         strictcrlpolicy=no<br>

>         plutostart=no<br>

>         charondebug="knl 3, cfg 2, ike 2, chd 2, mgr 2, dmn 2"<br>

><br>

> conn %default<br>

>         ikelifetime=60m<br>

>         keylife=20m<br>

>         rekeymargin=3m<br>

>         keyingtries=1<br>

>         keyexchange=ikev2<br>

>         # leftcert=moonCert.pem<br>

><br>

> # Add connections here.<br>

><br>

> conn android<br>

>     left=192.168.1.154<br>

>     leftid=192.168.1.154<br>

>     leftcert=moonCert.pem<br>

>     leftauth=pubkey<br>

>     right=%any<br>

</div>>     rightsourceip=<a href="http://10.0.5.0/24" target="_blank">10.0.5.0/24</a> <<a href="http://10.0.5.0/24" target="_blank">http://10.0.5.0/24</a>><br>

<div><div></div><div class="h5">>     rightauth=eap-mschapv2<br>

>     rightsendcert=never<br>

>     eap_identity=deepika<br>

>     auto=add<br>

><br>

> ipsec.secrets:<br>

><br>

> : RSA moonKey.pem<br>

><br>

> deepika : EAP "deepika"<br>

><br>

> Configuration at Nexus S (Android 2.3.5_r1):<br>

> ================================<br>

><br>

> I manually created "ipsec.d" directory in /system/etc/ and put my ca<br>

> certificate in cacerts there, and then created ipsec.conf and<br>

> ipsec.secrets in /system/etc/<br>

><br>

> /system/etc/ipsec.conf<br>

><br>

> config setup<br>

>     plutostart=no<br>

>     charondebug="knl 3, cfg 2, ike 2, chd 2, mgr 2, dmn 2"<br>

><br>

> conn %default<br>

>     ikelifetime=60m<br>

>     keylife=20m<br>

>     rekeymargin=3m<br>

>     keyingtries=1<br>

>     keyexchange=ikev2<br>

><br>

> # Add connections here.<br>

><br>

> # Sample VPN connections<br>

><br>

> conn android<br>

>     left=192.168.1.2<br>

>     leftauth=eap<br>

>     eap_identity=deepika<br>

>     right=192.168.1.154<br>

>     rightid=192.168.1.154<br>

>     rightauth=pubkey<br>

>     auto=add<br>

><br>

> /system/etc/ipsec.secrets<br>

><br>

> deepika : EAP "deepika"<br>

><br>

><br>

><br>

> But when I start the connection I am getting the following error:<br>

><br>

> # ipsec stroke up android<br>

> uname: not found<br>

> uname: not found<br>

> [: not found<br>

> initiating IKE_SA android[2] to 192.168.1.154<br>

> generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]<br>

> sending packet: from 192.168.1.2[500] to 192.168.1.154[500]<br>

> received packet: from 192.168.1.154[500] to 192.168.1.2[500]<br>

> parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP)<br>

> N(MULT_AUTH) ]<br>

> sending cert request for "C=UK, CN=nits"<br>

> establishing CHILD_SA android<br>

> generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ IDr CP(DNS)<br>

> SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br>

> sending packet: from 192.168.1.2[4500] to 192.168.1.154[4500]<br>

> received packet: from 192.168.1.154[4500] to 192.168.1.2[4500]<br>

> parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/MSCHAPV2 ]<br>

> received end entity cert "C=UK, CN=nits"<br>

>   using certificate "C=UK, CN=nits"<br>

>   using trusted ca certificate "C=UK, CN=nits"<br>

>   reached self-signed root ca with a path length of 0<br>

> authentication of '192.168.1.154' with RSA signature successful<br>

> server requested EAP_MSCHAPV2 authentication (id 0x75)<br>

> no EAP key found for hosts '192.168.1.154' - '192.168.1.2'<br>

> EAP_MSCHAPV2 method failed<br>

><br>

><br>

> Output of logcat:<br>

><br>

> I/charon  (  469): 00[CFG] loading ca certificates from<br>

> '/system/etc/ipsec.d/cacerts'<br>

> I/charon  (  469): 00[CFG]   loaded ca certificate "C=UK, CN=nits" from<br>

> '/system/etc/ipsec.d/cacerts/strongswanCert.pem'<br>

> I/charon  (  469): 00[CFG] loading aa certificates from<br>

> '/system/etc/ipsec.d/aacerts'<br>

> I/charon  (  469): 00[LIB] opening directory<br>

> '/system/etc/ipsec.d/aacerts' failed: No such file or directory<br>

> I/charon  (  469): 00[CFG]   reading directory failed<br>

> I/charon  (  469): 00[CFG] loading ocsp signer certificates from<br>

> '/system/etc/ipsec.d/ocspcerts'<br>

> I/charon  (  469): 00[LIB] opening directory<br>

> '/system/etc/ipsec.d/ocspcerts' failed: No such file or directory<br>

> I/charon  (  469): 00[CFG]   reading directory failed<br>

> I/charon  (  469): 00[CFG] loading attribute certificates from<br>

> '/system/etc/ipsec.d/acerts'<br>

> I/charon  (  469): 00[LIB] opening directory<br>

> '/system/etc/ipsec.d/acerts' failed: No such file or directory<br>

> I/charon  (  469): 00[CFG]   reading directory failed<br>

> I/charon  (  469): 00[CFG] loading crls from '/system/etc/ipsec.d/crls'<br>

> I/charon  (  469): 00[LIB] opening directory '/system/etc/ipsec.d/crls'<br>

> failed: No such file or directory<br>

> I/charon  (  469): 00[CFG]   reading directory failed<br>

> I/charon  (  469): 00[CFG] loading secrets from '/system/etc/ipsec.secrets'<br>

> I/charon  (  469): 00[CFG]   loaded EAP secret for deepika<br>

> I/charon  (  469): 00[DMN] loaded plugins: openssl fips-prf random<br>

> pubkey pkcs1 pem xcbc hmac kernel-netlink socket-default android stroke<br>

> eap-identity eap-mschapv2 eap-md5<br>

> I/charon  (  469): 00[JOB] spawning 16 worker threads<br>

> I/charon  (  469): 11[CFG] received stroke: add connection 'android'<br>

> I/charon  (  469): 11[CFG] added configuration 'android'<br>

><br>

> I/charon  (  469): 12[CFG] received stroke: initiate 'android'<br>

> I/charon  (  469): 14[IKE] initiating IKE_SA android[1] to 192.168.1.154<br>

> I/charon  (  469): 14[ENC] generating IKE_SA_INIT request 0 [ SA KE No<br>

> N(NATD_S_IP) N(NATD_D_IP) ]<br>

> I/charon  (  469): 14[NET] sending packet: from 192.168.1.2[500] to<br>

> 192.168.1.154[500]<br>

> D/GpsLocationProvider(  107): NTP server returned: 1321866231250 (Mon<br>

> Nov 21 09:03:51 GMT+00:00 2011) reference: 318100 certainty: 337 system<br>

> time offset: -20070741<br>

> I/charon  (  469): 15[IKE] retransmit 1 of request with message ID 0<br>

> I/charon  (  469): 15[NET] sending packet: from 192.168.1.2[500] to<br>

> 192.168.1.154[500]<br>

> I/charon  (  469): 03[IKE] retransmit 2 of request with message ID 0<br>

> I/charon  (  469): 03[NET] sending packet: from 192.168.1.2[500] to<br>

> 192.168.1.154[500]<br>

> I/charon  (  469): 16[IKE] retransmit 3 of request with message ID 0<br>

> I/charon  (  469): 16[NET] sending packet: from 192.168.1.2[500] to<br>

> 192.168.1.154[500]<br>

> I/charon  (  469): 02[NET] received packet: from 192.168.1.154[500] to<br>

> 192.168.1.2[500]<br>

> I/charon  (  469): 02[ENC] parsed IKE_SA_INIT response 0 [ SA KE No<br>

> N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>

> I/charon  (  469): 02[IKE] sending cert request for "C=UK, CN=nits"<br>

> I/charon  (  469): 02[IKE] establishing CHILD_SA android<br>

> I/charon  (  469): 02[ENC] generating IKE_AUTH request 1 [ IDi<br>

> N(INIT_CONTACT) CERTREQ IDr CP(DNS) SA TSi TSr N(MOBIKE_SUP)<br>

> N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br>

> I/charon  (  469): 02[NET] sending packet: from 192.168.1.2[4500] to<br>

> 192.168.1.154[4500]<br>

> I/charon  (  469): 01[NET] received packet: from 192.168.1.154[4500] to<br>

> 192.168.1.2[4500]<br>

> I/charon  (  469): 01[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH<br>

> EAP/REQ/MSCHAPV2 ]<br>

> I/charon  (  469): 01[IKE] received end entity cert "C=UK, CN=nits"<br>

> I/charon  (  469): 01[CFG]   using certificate "C=UK, CN=nits"<br>

> I/charon  (  469): 01[CFG]   using trusted ca certificate "C=UK, CN=nits"<br>

> I/charon  (  469): 01[CFG]   reached self-signed root ca with a path<br>

> length of 0<br>

> I/charon  (  469): 01[IKE] authentication of '192.168.1.154' with RSA<br>

> signature successful<br>

> I/charon  (  469): 01[IKE] server requested EAP_MSCHAPV2 authentication<br>

> (id 0xFD)<br>

> I/charon  (  469): 01[IKE] no EAP key found for hosts '192.168.1.154' -<br>

> '192.168.1.2'<br>

> I/charon  (  469): 01[IKE] EAP_MSCHAPV2 method failed<br>

> I/dalvikvm(  164): Total arena pages for JIT: 11<br>

> I/charon  (  469): 11[CFG] received stroke: initiate 'android'<br>

> I/charon  (  469): 14[IKE] initiating IKE_SA android[2] to 192.168.1.154<br>

> I/charon  (  469): 14[ENC] generating IKE_SA_INIT request 0 [ SA KE No<br>

> N(NATD_S_IP) N(NATD_D_IP) ]<br>

> I/charon  (  469): 14[NET] sending packet: from 192.168.1.2[500] to<br>

> 192.168.1.154[500]<br>

> I/charon  (  469): 15[NET] received packet: from 192.168.1.154[500] to<br>

> 192.168.1.2[500]<br>

> I/charon  (  469): 15[ENC] parsed IKE_SA_INIT response 0 [ SA KE No<br>

> N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]<br>

> I/charon  (  469): 15[IKE] sending cert request for "C=UK, CN=nits"<br>

> I/charon  (  469): 15[IKE] establishing CHILD_SA android<br>

> I/charon  (  469): 15[ENC] generating IKE_AUTH request 1 [ IDi<br>

> N(INIT_CONTACT) CERTREQ IDr CP(DNS) SA TSi TSr N(MOBIKE_SUP)<br>

> N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br>

> I/charon  (  469): 15[NET] sending packet: from 192.168.1.2[4500] to<br>

> 192.168.1.154[4500]<br>

> I/charon  (  469): 03[NET] received packet: from 192.168.1.154[4500] to<br>

> 192.168.1.2[4500]<br>

> I/charon  (  469): 03[ENC] parsed IKE_AUTH response 1 [ IDr CERT AUTH<br>

> EAP/REQ/MSCHAPV2 ]<br>

> I/charon  (  469): 03[IKE] received end entity cert "C=UK, CN=nits"<br>

> I/charon  (  469): 03[CFG]   using certificate "C=UK, CN=nits"<br>

> I/charon  (  469): 03[CFG]   using trusted ca certificate "C=UK, CN=nits"<br>

> I/charon  (  469): 03[CFG]   reached self-signed root ca with a path<br>

> length of 0<br>

> I/charon  (  469): 03[IKE] authentication of '192.168.1.154' with RSA<br>

> signature successful<br>

> I/charon  (  469): 03[IKE] server requested EAP_MSCHAPV2 authentication<br>

> (id 0x75)<br>

> I/charon  (  469): 03[IKE] no EAP key found for hosts '192.168.1.154' -<br>

> '192.168.1.2'<br>

> I/charon  (  469): 03[IKE] EAP_MSCHAPV2 method failed<br>

><br>

> Am I missing something or there are some issues with the release?<br>

><br>

> Thanks in advance.<br>

> Regards,<br>

<br>

</div></div>======================================================================<br>

<font color="#888888">Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>

strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org" target="_blank">www.strongswan.org</a><br>

Institute for Internet Technologies and Applications<br>

University of Applied Sciences Rapperswil<br>

CH-8640 Rapperswil (Switzerland)<br>

===========================================================[ITA-HSR]==<br>

<br>

</font></blockquote></div><br>