Hi All,<div><br></div><div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div>I've been playing about with "multiple-authentication exchanges" (see RFC 4739).</div><div><br></div><div>I've configured the local machine to expect to perform certs authentication followed by EAP-AKA.</div>
<div><br></div><div>If I configure the remote to expect the same, the tunnel comes up just as expected. Good.</div><div><br></div><div>If I then configure the remote to expect certs authentication only, it rejects the tunnel setup when the local end attempts the EAP-AKA round ("peer requested EAP, config
        inacceptable"). Also good.</div><div><br></div><div>If I then configure the remote to expect certs authentication only *and* to not advertise that it supports multiple-authentication exchanges (by setting charon.multiple_authentication to "no" in strongswan.conf), then the tunnel comes up. Not as expected. Not good.</div>
<div><br></div><div>So, in the second scenario, the remote (by default) sends the "multiple auth supported" flag in the IKE_SA_INIT response, the local sends both the "multiple auth supported" and "another auth follows" flags in the first IKE_AUTH request and after the second IKE_AUTH request (starting the EAP-AKA round), the remote end rejects the tunnel attempt because it is not expecting multiple-authentication exchanges.</div>
<div><br></div><div>In the third scenario, the remote no longer sends the "multiple auth supported" flag in the IKE_SA_INIT response, the local also does not send the "multiple auth supported" in the first IKE_AUTH request, the remote is happy with just the certs-only authentication and the local does not object either.</div>
<div><br></div><div>Is this correct behaviour ?</div><div><br></div><div>Is there any way to configure the local end to demand that multiple-authentication exchanges take place and to reject the tunnel if the remote does not ?</div>
<div><br></div><div>Regards,</div></blockquote></div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><blockquote style="margin:0 0 0 40px;border:none;padding:0px"><div><br></div><div>Graham.</div><div><br>
</div></blockquote></div></blockquote>