<div dir="ltr">

<p class="" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-size:12pt;font-family:"Times New Roman","serif"">Hello,</span></p><p class="" style="margin-bottom:0.0001pt;line-height:normal">
<span style="font-size:12pt;font-family:"Times New Roman","serif"">I am using the DHCP plugin to supply
an address to my Android(4.1) strongSwan VPN Client that connects to a strongSwan(4.5.2)server with IKEv2.
I want the DHCP server to statically assign IP addresses based on the client's FQDN. The FQDN is used as the CN in client's certificate and as the subjectAltName. When identity_lease=yes is specified in the strongswan.conf file, the DHCP
Request’s Client Identifier field is set to the DER ASN1 DN  <span style>identifier of the client.  </span>I expected to see the FQDN in this field so
that it could be used for pre-configured static assignment in the DHCP server’s
configuration file. The DHCP server delivers an address, but not the statically assigned one for the client, the file can't be indexed by the DER ASN.1.<br></span></p>

<p class="" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-size:12pt;font-family:"Times New Roman","serif""> My preferred connection
configuration in the server’s ipsec.conf has rightid=%any and is similar to that
in the dhcp-static-client-id test. I have also tried multiple alternate
configurations of rightid thinking this might be why the identifier was
defaulting to the DER ASN.1 DN. The result was that the SA
could not be established. Charon appears to be using the <span style> </span>DER ASN.1 DN from the client’s packet and comparing
it to whatever rightid is configured to for the connection in ipsec.conf. <span style> </span>If rightid is anything but %any or the fully
specified DER ASN.1 DN, the SA fails. (Using email as the subjectAltName and the rightid also failed.)<br></span></p><span style="font-size:12pt;font-family:"Times New Roman","serif""><br>I would appreciate any help in identifying the error in my certificate or connection configuration that prevents the FQDN from being used as the client identifier in the DHCP request. Is it possible to generate a client certificate
and configure the connection in a way to force use of the subjectAltName in the DHCP Request
when rightid=%any?  My configuration, log, and DHCP Request capture is in the attached rightid_any file.</span>

<p class="" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-size:12pt;font-family:"Times New Roman","serif"">I also attached rightid_dns showing the failure of the SA establishment if rightid is set to the DNS of the client. Since it is another case of the DER ASN.1DN being used as the peer identifier instead of the subjectAltName it seems possible this problem is related. <br>
</span></p>

<p class="" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-size:12pt;font-family:"Times New Roman","serif""> Thank you for any help provided.</span></p>

<p class="" style="margin-bottom:0.0001pt;line-height:normal"><span style="font-size:12pt;font-family:"Times New Roman","serif""> -gs</span></p>

</div>