<div dir="ltr"><div><div><div><div><div><div><div><div><div>Hi<br><br></div>This is a kind request for help...iam unable to bring this tunnel from a cisco-vpn-client-v5.0 to a strongswan-v5.0.4 server (on a OpenWRT presently...but also tried with a Linux-Fedora14 server)<br><br></div>The intention is to use first level PSK auth (for group authentication simulation) and then xuth (user/passwd) in the second level of authentication <br><br></div>I have tried many combinations (for PSK auth) including finally using -    : PSK "123456789"<br><br></div>Nothing seems to be working with PSK (if i use RSA certificates for first level auth ...then everything works as expected)<br><br></div>The sample error/failure and the configurations used on the strongswan-v5.0.4 server are as below:<br><br>======================================<br><br><br><br><br>root@OpenWrt:/etc# ipsec start --nofork<br>Starting weakSwan 5.0.4 IPsec [starter]...<br>00[DMN] Starting IKE charon daemon (strongSwan 5.0.4, Linux 3.2.54, armv7l)<br>00[LIB] openssl FIPS mode(0) unavailable<br>00[CFG] attr-sql plugin: database URI not set<br>00[LIB] plugin 'attr-sql': failed to load - attr_sql_plugin_create returned NULL<br>00[CFG] sql plugin: database URI not set<br>00[LIB] plugin 'sql': failed to load - sql_plugin_create returned NULL<br>00[LIB] plugin 'eap-sim' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-sim.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-sim-file' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-sim-file.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-aka' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-aka.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-simaka-sql' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-simaka-sql.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-simaka-pseudonym' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-simaka-pseudonym.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-gtc' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-gtc.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-dynamic' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-dynamic.so: cannot open shared object file: No such file or directory<br>00[CFG] loaded 0 RADIUS server configurations<br>00[LIB] plugin 'eap-tls' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-tls.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'eap-peap' failed to load: /usr/lib/ipsec/plugins/libstrongswan-eap-peap.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'xauth-noauth' failed to load: /usr/lib/ipsec/plugins/libstrongswan-xauth-noauth.so: cannot open shared object file: No such file or directory<br>00[LIB] plugin 'error-notify' failed to load: /usr/lib/ipsec/plugins/libstrongswan-error-notify.so: cannot open shared object file: No such file or directory<br>00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'<br>00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'<br>00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'<br>00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'<br>00[CFG] loading crls from '/etc/ipsec.d/crls'<br>00[CFG] loading secrets from '/etc/ipsec.secrets'<br>00[CFG]   loaded IKE secret for 1.1.1.30 @clientgrp1<br>00[CFG]   loaded EAP secret for ezclientuser1<br>00[CFG]   loaded EAP secret for testuser1<br>00[CFG]   loaded EAP secret for testuser2<br>00[DMN] loaded plugins: charon curl ldap mysql sqlite pkcs11 des blowfish sha1 md4 random nonce x509 revocation constraints pubkey pkcs1 pgp dnskey pem openssl gcrypt fips-prf gmp xcbc hmac ctr ccm<br> gcm attr kernel-pfkey kernel-netlink resolve socket-default farp stroke updown eap-identity eap-md5 eap-mschapv2 eap-radius xauth-generic xauth-eap dhcp whitelist unity<br>00[JOB] spawning 16 worker threads<br>charon (3822) started after 100 ms<br>12[CFG] received stroke: add connection 'ezvpnclient1'<br>12[CFG] adding virtual IP address pool <a href="http://192.168.50.0/24">192.168.50.0/24</a><br>12[CFG] added configuration 'ezvpnclient1'<br>13[NET] received packet: from 172.29.1.2[1293] to 1.1.1.30[500] (870 bytes)<br>13[ENC] parsed AGGRESSIVE request 0 [ SA KE No ID V V V V V ]<br>13[IKE] received XAuth vendor ID<br>13[IKE] received DPD vendor ID<br>13[IKE] received FRAGMENTATION vendor ID<br>13[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID<br>13[IKE] received Cisco Unity vendor ID<br>13[IKE] 172.29.1.2 is initiating a Aggressive Mode IKE_SA<br>13[CFG] looking for XAuthInitPSK peer configs matching 1.1.1.30...172.29.1.2[clientgrp1]<br>13[IKE] no peer config found<br>13[ENC] generating INFORMATIONAL_V1 request 2263060300 [ N(AUTH_FAILED) ]<br>13[NET] sending packet: from 1.1.1.30[500] to 172.29.1.2[1293] (56 bytes)<br><br>=====================<br><br>root@OpenWrt:/etc# cat ipsec.conf<br>#/etc/ipsec.conf - strongSwan IPsec configuration file<br><br>config setup<br>        strictcrlpolicy=no<br><br>conn %default<br>        ikelifetime=60m<br>        keylife=30m<br>        rekeymargin=3m<br>        keyingtries=1<br>        mobike=no<br><br>conn ezvpnclient1<br>        left=1.1.1.30<br>        leftid=1.1.1.30<br>        leftsubnet=<a href="http://192.168.2.0/24,192.168.200.0/24,192.168.175.0/24,172.16.0.0/16,10.1.1.0/24">192.168.2.0/24,192.168.200.0/24,192.168.175.0/24,172.16.0.0/16,10.1.1.0/24</a><br>        leftauth=psk<br>        modeconfig=push<br>        rightsourceip=<a href="http://192.168.50.0/24">192.168.50.0/24</a><br>        rightauth=psk<br>        rightauth2=xauth<br>        keyexchange=ikev1<br>        ike=aes256-sha1-modp2048<br>        esp=aes128-sha1<br>        auto=add<br>root@OpenWrt:/etc#<br><br>==========================<br><br>root@OpenWrt:/etc# cat ipsec.secrets<br>#/etc/ipsec.secrets - strongSwan IPsec secrets file<br>1.1.1.30 @clientgrp1 : PSK "123456789"<br>#1.1.1.30 %any : PSK "123456789"<br>#@clientgrp1 %any : PSK "123456789"<br>#@dutfsl @clientgrp1 : PSK "123456789"<br>ezclientuser1 : XAUTH "config123"<br>testuser1 : XAUTH "4iChxLT3"<br>testuser2 : XAUTH "ryftzG4A"<br>#: PSK "123456789"<br>#: RSA peer22Key.pem<br>root@OpenWrt:/etc#<br><br>===========================<br><br>root@OpenWrt:/etc# cat strongswan.conf<br># strongswan.conf - strongSwan configuration file<br><br>charon {<br><br>        # number of worker threads in charon<br>        threads = 16<br>        cisco_unity = yes<br>        i_dont_care_about_security_and_use_aggressive_mode_psk = yes<br><br>        # send strongswan vendor ID?<br>        ##send_vendor_id = yes<br><br>        plugins {<br><br>                sql {<br>                        # loglevel to log into sql database<br>                        loglevel = -1<br><br>                        # URI to the database<br>                        # database = sqlite:///path/to/file.db<br>                        # database = mysql://user:password@localhost/database<br>                }<br>                attr {<br>                      dns = 172.16.0.23, 172.16.0.24<br>                      nbns = 172.16.1.2, 172.16.1.3<br>                      split-exclude = <a href="http://10.65.36.0/22">10.65.36.0/22</a><br>                      28672 = "Welcome to Cisco from Strongswan..You are Connected!!"<br>                      28675 = <a href="http://test1.com">test1.com</a> <a href="http://test2.com">test2.com</a><br>                }<br>        }<br><br>        # ...<br>}<br><br>pluto {<br><br>}<br><br>libstrongswan {<br><br>        #  set to no, the DH exponent size is optimized<br>        #  dh_exponent_ansi_x9_42 = no<br>}<br>=============================================================<br><br></div><div>I tried adding/removing leftid...rightid...with ipaddress, with fqdn, with just about any other options i could think of for id...but it just fails...finally iam just lost at this time and need some expert advice<br><br></div>Can you please please help...I need the PSK based auth to work to be compatible with the existing cisoc clients which are not ready for change...certificates will take some time for us as the pki infrastructure has to be in place...<br><br><br></div>thank you so much<br></div>with regards<br></div>- rajiv kulkarni<br><br></div>