
<div dir="ltr"><p class="">Hello Martin,</p>


<p class="">Thank you for your answer – it was very helpful. It would be useful if the identifier the client uses to authenticate itself could be changed. However, I now understand that I will need to handle

the variability of the peer identifiers to use DHCP static address assignment.</p>


<p class="">Best Regards,</p>


<span style="font-size:11pt;line-height:115%;font-family:Calibri,sans-serif">gs</span><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Feb 13, 2013 at 4:40 AM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>

<div class="im"><br>

> the DHCP Request’s Client Identifier field is set to the DER ASN1 DN<br>

> identifier of the client. I expected to see the FQDN in this field so<br>

> that it could be used for pre-configured static assignment in the DHCP<br>

> server’s configuration file.<br>

<br>

</div>The identity used in the Client Identifier is the one the IKE peer used<br>

to authenticate itself in the IKE IDi payload (C=US, O=Sample,<br>

CN=<a href="http://rw1.sample.org" target="_blank">rw1.sample.org</a>). This is the case for all IP pool backends. While we<br>

could use another identity from the certificate, this is tricky: Which<br>

one should we choose if there are multiple types, or even multiple<br>

subjectAltNames for the same type?<br>

<br>

The Android client authenticates itself with the certificate subject<br>

when using certificate authentication, wich is a full Distinguished<br>

Name.<br>

<br>

@Tobias, there is currently no way to change that, right?<br>

<div class="im"><br>

> I also attached rightid_dns showing the failure of the SA establishment if<br>

> rightid is set to the DNS of the client.<br>

<br>

</div>If the rightid is set this way, the identity the client uses does not<br>

match anymore to your server connection. The peer gets rejected.<br>

<br>

Regards<br>

<span class="HOEnZb"><font color="#888888">Martin<br>

<br>

</font></span></blockquote></div><br></div>