<div dir="ltr">Opps, not quite. My real question is that some weird logs with user name "192.168.3.254" in Radius accounting DB, so I go to check Charon's log, found these logs.<div><br></div><div>  </div></div>

<div class="gmail_extra"><br clear="all"><div><br>--<br>Kris</div>
<br><br><div class="gmail_quote">On Sat, Apr 6, 2013 at 11:30 PM, Andreas Steffen <span dir="ltr"><<a href="mailto:andreas.steffen@strongswan.org" target="_blank">andreas.steffen@strongswan.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hmm, are you sure the client in question is sending an EAP identity?<br>
I just checked one of our example RADIUS scenarios<br>
<br>
<a href="http://www.strongswan.org/uml/testresults/ikev2/rw-eap-md5-id-radius/" target="_blank">http://www.strongswan.org/uml/testresults/ikev2/rw-eap-md5-id-radius/</a><br>
<br>
and I see that the gateway nevertheless logs the EAP Identity:<br>
<br>
16[IKE] initiating EAP_IDENTITY method (id 0x00)<br>
16[IKE] authentication of '<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a>' (myself) with RSA<br>
signature successful<br>
16[IKE] sending end entity cert "C=CH, O=Linux strongSwan,<br>
CN=<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a>"<br>
16[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]<br>
16[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500]<br>
(1436 bytes)<br>
<br>
05[NET] received packet: from 192.168.0.100[4500] to 192.168.0.1[4500]<br>
(76 bytes)<br>
05[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]<br>
05[IKE] received EAP identity 'carol'<br>
05[CFG] sending RADIUS Access-Request to server '10.1.0.10'<br>
05[CFG] received RADIUS Access-Challenge from server '10.1.0.10'<br>
05[IKE] initiating EAP_MD5 method (id 0x01)<br>
05[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MD5 ]<br>
05[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500]<br>
(92 bytes)<br>
<br>
04[NET] received packet: from 192.168.0.100[4500] to 192.168.0.1[4500]<br>
(92 bytes)<br>
04[ENC] parsed IKE_AUTH request 3 [ EAP/RES/MD5 ]<br>
04[CFG] sending RADIUS Access-Request to server '10.1.0.10'<br>
04[CFG] received RADIUS Access-Accept from server '10.1.0.10'<br>
04[IKE] RADIUS authentication of 'carol' successful<br>
04[IKE] EAP method EAP_MD5 succeeded, no MSK established<br>
04[ENC] generating IKE_AUTH response 3 [ EAP/SUCC ]<br>
04[NET] sending packet: from 192.168.0.1[4500] to 192.168.0.100[4500]<br>
(76 bytes)<br>
<br>
03[NET] received packet: from 192.168.0.100[4500] to 192.168.0.1[4500]<br>
(92 bytes)<br>
03[ENC] parsed IKE_AUTH request 4 [ AUTH ]<br>
03[IKE] authentication of '<a href="mailto:carol@strongswan.org">carol@strongswan.org</a>' with EAP successful<br>
03[IKE] authentication of '<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a>' (myself) with EAP<br>
03[IKE] IKE_SA rw-eap[1] established between<br>
192.168.0.1[<a href="http://moon.strongswan.org" target="_blank">moon.strongswan.org</a>]...192.168.0.100[<a href="mailto:carol@strongswan.org">carol@strongswan.org</a>]<br>
<br>
Regards<br>
<br>
Andreas<br>
<div class="im"><br>
On 04/06/2013 05:07 PM, Kris wrote:<br>
> Hi, Andreas<br>
><br>
> Thanks for your explanation. Because there're some logs with username<br>
> '192.168.3.254' in my Radius accounting DB, so I worry about it should<br>
> be the correct username, or not, user's traffic accounting may be not<br>
> accurate.<br>
><br>
> --<br>
> Kris<br>
><br>
><br>
> On Sat, Apr 6, 2013 at 10:43 PM, Andreas Steffen<br>
</div>> <<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a> <mailto:<a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a>>><br>
<div><div class="h5">> wrote:<br>
><br>
>     Hi Kris,<br>
><br>
>     192.168.3.254 is just the outer IKEv2 client identity and is<br>
>     equivalent to the client IP address in the local LAN behind<br>
>     the NAT router. The inner EAP identity is not visible in the gateway<br>
>     log because it is handled by the RADIUS server.<br>
><br>
>     Don't worry!<br>
><br>
>     Andreas<br>
><br>
>     On 04/06/2013 04:08 PM, Kris wrote:<br>
>     ><br>
>     > I got weird log in Strongswan like:<br>
>     ><br>
>     > Apr  3 06:31:36 13[ENC] parsed IKE_AUTH request 6 [ AUTH ]<br>
>     > Apr  3 06:31:36 13[IKE] authentication of '192.168.3.254' with EAP<br>
>     > successful<br>
>     > Apr  3 06:31:36 13[IKE] authentication of '<a href="http://xx.com" target="_blank">xx.com</a> <<a href="http://xx.com" target="_blank">http://xx.com</a>><br>
>     <<a href="http://xx.com" target="_blank">http://xx.com</a>>'<br>
>     > (myself) with EAP<br>
>     > Apr  3 06:31:36 13[IKE] IKE_SA win7[16115] established between<br>
>     > 19.45.16.1[<a href="http://xx.com" target="_blank">xx.com</a> <<a href="http://xx.com" target="_blank">http://xx.com</a>><br>
>     <<a href="http://xx.com" target="_blank">http://xx.com</a>>]...12.46.25.8[192.168.3.254]<br>
>     ><br>
>     > Apr  3 06:31:36 13[IKE] authentication of '192.168.3.254' with EAP<br>
>     > successful<br>
>     ><br>
>     > How could this possible? '192.168.3.254' isn't my Radius' user at all,<br>
>     > how could it act like VPN username ?<br>
>     ><br>
>     > I'm runing 5.0.2dr4, is this a bug or my config mistake?<br>
>     ><br>
>     > conn win7<br>
>     >         keyexchange=ikev2<br>
>     >         left=%any<br>
</div></div>>     >         leftid=<a href="http://xx.com" target="_blank">xx.com</a> <<a href="http://xx.com" target="_blank">http://xx.com</a>> <<a href="http://xx.com" target="_blank">http://xx.com</a>><br>


>     >         leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>> <<a href="http://0.0.0.0/0" target="_blank">http://0.0.0.0/0</a>><br>


<div class="HOEnZb"><div class="h5">>     >         leftauth=pubkey<br>
>     >         leftcert=gw.cer<br>
>     >         right=%any<br>
>     >         rightsendcert=never<br>
>     >         rightauth=eap-radius<br>
>     >         eap_identity=%identity<br>
>     >         rightsourceip=%ippool<br>
>     >         ikelifetime=48h<br>
>     >         lifetime=48h<br>
>     >         rekeymargin=9m<br>
>     >         rekey=no<br>
>     >         reauth=no<br>
>     >         dpddelay=30<br>
>     >         dpdtimeout=150<br>
>     >         dpdaction=clear<br>
>     ><br>
>     > --<br>
>     > Kris<br>
======================================================================<br>
Andreas Steffen                         <a href="mailto:andreas.steffen@strongswan.org">andreas.steffen@strongswan.org</a><br>
strongSwan - the Linux VPN Solution!                <a href="http://www.strongswan.org" target="_blank">www.strongswan.org</a><br>
Institute for Internet Technologies and Applications<br>
University of Applied Sciences Rapperswil<br>
CH-8640 Rapperswil (Switzerland)<br>
===========================================================[ITA-HSR]==<br>
<br>
</div></div></blockquote></div><br></div>