<div dir="ltr"><p class="">Hello Martin,</p>

<p class="">Thank you for your answer – it was very helpful. It would be useful if the identifier the client uses to authenticate itself could be changed. However, I now understand that I will need to handle
the variability of the peer identifiers to use DHCP static address assignment.</p>

<p class="">Best Regards,</p>

<span style="font-size:11pt;line-height:115%;font-family:Calibri,sans-serif">gs</span><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Wed, Feb 13, 2013 at 4:40 AM, Martin Willi <span dir="ltr"><<a href="mailto:martin@strongswan.org" target="_blank">martin@strongswan.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<div class="im"><br>
> the DHCP Request’s Client Identifier field is set to the DER ASN1 DN<br>
> identifier of the client. I expected to see the FQDN in this field so<br>
> that it could be used for pre-configured static assignment in the DHCP<br>
> server’s configuration file.<br>
<br>
</div>The identity used in the Client Identifier is the one the IKE peer used<br>
to authenticate itself in the IKE IDi payload (C=US, O=Sample,<br>
CN=<a href="http://rw1.sample.org" target="_blank">rw1.sample.org</a>). This is the case for all IP pool backends. While we<br>
could use another identity from the certificate, this is tricky: Which<br>
one should we choose if there are multiple types, or even multiple<br>
subjectAltNames for the same type?<br>
<br>
The Android client authenticates itself with the certificate subject<br>
when using certificate authentication, wich is a full Distinguished<br>
Name.<br>
<br>
@Tobias, there is currently no way to change that, right?<br>
<div class="im"><br>
> I also attached rightid_dns showing the failure of the SA establishment if<br>
> rightid is set to the DNS of the client.<br>
<br>
</div>If the rightid is set this way, the identity the client uses does not<br>
match anymore to your server connection. The peer gets rejected.<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">Martin<br>
<br>
</font></span></blockquote></div><br></div>