<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    ok i have it (almost) working<br>
    <br>
    vpn server ipsec.conf (running strongswan 5.2)<br>
    <br>
    config setup   <br>
            # uniqueids=never<br>
            charondebug="cfg 2, dmn 2, ike 2, net 2"<br>
    <br>
    conn %default<br>
            keyexchange=ikev2<br>
            dpdaction=clear<br>
            dpddelay=300s<br>
            rekey=no<br>
            left=%any<br>
            leftsubnet=0.0.0.0/0<br>
            leftcert=serverHostCert.pem<br>
            right=%any<br>
            rightdns=8.8.8.8<br>
            rightsourceip=192.168.126.3/24<br>
            type=tunnel<br>
            #rightsubnet=192.168.126.0/24<br>
            forceencaps=yes<br>
    <br>
    conn nexus5<br>
            keyexchange=ikev1<br>
            # forceencaps=yes<br>
            rightauth=pubkey<br>
            rightauth2=xauth<br>
            auto=add<br>
            rightsourceip=192.168.126.5<br>
    (many more like this one, all of them android phones)<br>
    <br>
    conn <laptop><br>
            keyexchange=ikev2<br>
            auto=add<br>
            #leftsubnet=192.168.126.0/24<br>
            #rightsourceip=192.168.126.4<br>
    <br>
    conn <workstation><br>
            keyexchange=ikev2<br>
            auto=add<br>
            leftsubnet=192.168.126.0/24<br>
    <br>
    <br>
    the only thing i cannot get it to work is to be able to ssh from
    <laptop> to <workstation><br>
    <br>
    i don't understand how i could do it as ip assigned to
    <laptop> and <workstation> have /32 netmask<br>
    also i run many VMs on <laptop> which i would like to be able
    to route into the vpn but is not possible as i don't get any route<br>
    <br>
    i can reach the network behind the vpn server, 192.168.125.1 that's
    good<br>
    <br>
    output from <workstation><br>
    <br>
    $ ip r<br>
    default via 172.17.0.1 dev eth0 <br>
    172.17.0.0/21 dev eth0  proto kernel  scope link  src 172.17.1.163 <br>
    192.168.122.0/24 dev prov0  proto kernel  scope link  src
    192.168.122.1 <br>
    192.168.255.0/24 dev br0  proto kernel  scope link  src
    192.168.255.1 <br>
    <br>
    $ ip -4 a <br>
    <br>
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc
    pfifo_fast state UP group default qlen 1000<br>
        inet 172.17.1.163/21 brd 172.17.7.255 scope global eth0<br>
           valid_lft forever preferred_lft forever<br>
        <b>inet 192.168.126.4/32 scope global eth0</b><br>
           valid_lft forever preferred_lft forever<br>
    <br>
    <br>
    <br>
    ipsec.conf on <workstation> (running strongswan 5.2)<br>
    <br>
    config setup<br>
        nat_traversal = yes<br>
        charonstart=no<br>
    <br>
    conn sample-with-ca-cert<br>
          leftsourceip=%config<br>
          rightsubnet=192.168.125.0/24<br>
          leftcert=workstationCert.pem<br>
          leftid=workstation<br>
          right=vpn-server-ip<br>
          rightid="C=AR, O=strongSwan, CN=vpn-server-FQDN"<br>
          auto=start<br>
          leftfirewall = yes <br>
    <br>
    <br>
    i feel like i'm missing something obvious but i cannot get an answer
    googling for it<br>
    any pointer will be appreciated<br>
    <br>
    thanks<br>
    <br>
    <br>
    <div class="moz-cite-prefix">On 10/14/2014 03:40 PM, Martin Willi
      wrote:<br>
    </div>
    <blockquote cite="mid:1413272446.3171.8.camel@martin" type="cite">
      <pre wrap="">Hi,

</pre>
      <blockquote type="cite">
        <pre wrap="">i want to know if strongswan running on a linux server can support this
clients.

- android phones using native client, and configured as ipsec rsa xauth
(x509+Xauth), all traffic should be routed over the vpn

- mikrokit router, configured as ipsec rsa, behind a dynamic ip but not
nat (adsl), not all traffic should be routed over vpn.
router will nat is clients into the vpn

- remote workstation running linux behind nat, not all traffic should be
routed over vpn, but it should allow connections from other vpn client

- laptop running linux, most of the time behind nat, it may or may not
need to route all the traffic over vpn, it needs to be able to connect
to the remote workstation over the vpn
</pre>
      </blockquote>
      <pre wrap="">
That should be doable, yes. Obviously you'll need multiple connection
definitions in your ipsec.conf, most likely one for each of these
clients.

The tricky part is probably to assign the correct connection definition
to each connecting client. I assume the first two use IKEv1? Then you
can distinguish them by the authentication method. For the latter two
I'd recommend to use IKEv2 (and strongSwan clients?), but not sure what
your "other vpn client" supports. If required you can used different
leftids on your responder with IKEv2, and then select the correct
configuration based on the proposed responder identity. Alternatively
you may select the configuration based on the client identity or its IP
address; this highly depends on your client capabilities.

Whether to "route all traffic over VPN" depends on your leftsubnet
configuration; you may also dynamically allow clients to propose what to
tunnel by using traffic selector narrowing.

</pre>
      <blockquote type="cite">
        <pre wrap="">i want to know if strongswan can do all this for me running on a single
server, on a single instance with a single pool of ip
</pre>
      </blockquote>
      <pre wrap="">
Sharing an in-memory virtual IP pool is straightforward since 5.0.1;
just define the same rightsourceip pool subnet to share it across
multiple connections.

Regards
Martin

</pre>
    </blockquote>
    <br>
    <pre class="moz-signature" cols="72">-- 
1AE0 322E B8F7 4717 BDEA BF1D 44BB 1BA7 9F6C 6333</pre>
  </body>
</html>