<div>Hi,</div><div> </div><div>I am looking for a way to configure the gateway moon to serve multiple connections with a single certificate, but each connection should have its own leftid (not the default <a href="http://moon.strongswan.org/" target="_blank">moon.strongswan.org</a>). A single client will request different connections and the moon will find the corresponding connection with the unique combination of <leftid=first_connection_id, rightid=same_client_id> or <leftid=second_connection_id, rightid=same_client_id>. For example:</div>


<div> </div><div>conn %default<br>    leftcert=moonCert.pem       # moon will use this single certificate<br>    rightid=same_client_id        # same client will request the connections below</div><div>conn connect_1<br>
    leftid=first_connection_id       # same client will request this conn using its rightid=first_connection_id <br>

conn connect_2<br>    leftid=second_connection_id # same client will request this conn using its rightid=second_connection_id</div><div><br></div><div>I noticed that, if the leftid is not <a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a> (as confirmed by moon's certificate), then server will use the default 'C=CH, O=Linux strongSwan, CN=<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a>' as the leftid for this connection. The client does the same thing by turning its rightid to the same default. Since both server and client are strongswans, there is no problem establishing the tunnel, but all connection lookups will fall onto the first connection based on the same defaulted leftid and the same rightid.</div>

<div> </div><div>How can we make the server decouple its leftid and its certificate as in the sample ipsec.conf above?</div><div>Does this violate any specifications/standards?</div><div> </div><div>Will the change cause further problems when server sends its reply with IDENTITY, AUTH, and CERT to the client?</div>

<div>I guess the IDENTITY would be the configured leftid (first_connection_id, etc), but not the defaulted strongswan, correct?</div><div>AUTH would still be coupled with the CERT (moonCert.pem for strongswan), but would have nothing to do with the IENDITITY, correct?</div>

<div> </div><div>Thank you!</div>
<div>Robert</div><div> </div>