<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Exchange Server">
<!-- converted from rtf -->
<style><!-- .EmailQuote { margin-left: 1pt; padding-left: 4pt; border-left: #800000 2px solid; } --></style>
</head>
<body>
<font face="Calibri" size="2"><span style="font-size:11pt;">
<div>Hello all,</div>
<div> </div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">I am trying to set a VPN between Strongswan (5.3.3) on Linux and a Fortigate 60D (FortiOS 5.2.4), in IKEv2 EAP identity.</span></font></div>
<div> </div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">The Fortigate sends the EAP_IDENTITY and Strongswan answers with EAP_IDENTITY.</span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">When eap_identity is 172.26.185.1 the message EAP_IDENTITY length is 96 bytes (see Strongswan traces)</span></font></div>
<div> </div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[NET] received packet: from 172.26.185.50[4500] to 172.26.185.82[4500] (192 bytes)</span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[ENC] parsed IKE_AUTH response 1 [ IDr AUTH EAP/REQ/ID ]</span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[IKE] authentication of '172.26.185.50' with pre-shared key successful   </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[IKE] server requested EAP_IDENTITY (id 0x2A), sending '172.26.185.1'    </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[IKE] reinitiating already active tasks                                  </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[IKE]   IKE_AUTH task                                                      </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]                       </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[NET] sending packet: from 172.26.185.82[4500] to 172.26.185.50[4500] (96 bytes)</span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 04[NET] sending packet: from 172.26.185.82[4500] to 172.26.185.50[4500]    </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[MGR] checkin IKE_SA vpn_FGT[1]                                          </span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:04 (none) charon: 09[MGR] check-in of IKE_SA successful.</span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;">Sep 22 16:32:07 (none) charon: 10[MGR] checkout IKE_SA    </span></font></div>
<div> </div>
<div>But when received by Fortigate, the identity is wrong (fortigate traces): </div>
<div> </div>
<div>2015-09-22 16:08:08 ike 0: comes 172.26.185.82:4500->10.0.0.2:4500,ifindex=5....</div>
<div>2015-09-22 16:08:08 ike 0: IKEv2 exchange=AUTH id=90a5f8b92f8ab9da/b2d3b9839ad56895:00000002 len=96</div>
<div>2015-09-22 16:08:08 ike 0: in 90A5F8B92F8AB9DAB2D3B9839AD568952E202308000000020000006030000044C6A08A5B75AFA1D9070798469318CE7F054CB250AF1A3D3D39F7AB5BB89405435CB93F27DEE89EFF7ABA2F7CD9A5D8AF4312B2D6697B7EB34DD9BADD4B62BDCD</div>
<div>2015-09-22 16:08:08 ike 0:poc:42: dec 90A5F8B92F8AB9DAB2D3B9839AD568952E202308000000020000002D300000040000000D022A000901AC1AB901</div>
<div>2015-09-22 16:08:08 ike 0:poc:42: responder received EAP msg</div>
<div>2015-09-22 16:08:08 ike 0:poc:42: send EAP message to FNBAM</div>
<div>2015-09-22 16:08:08 ike 0:poc:42: initiating EAP authentication</div>
<div>2015-09-22 16:08:08 ike 0:poc: EAP user "<font face="Tahoma">�</font><font face="Tahoma">�</font>"</div>
<div> </div>
<div>When I change <font face="Courier New" size="2"><span style="font-size:10pt;">eap_identity </span></font><font face="Courier New" size="2"><span style="font-size:10pt;">to 172.26.185.A, the </span></font><font face="Courier New" size="2"><span style="font-size:10pt;">message
</span></font><font face="Courier New" size="2"><span style="font-size:10pt;">EAP_IDENTITY</span></font><font face="Courier New" size="2"><span style="font-size:10pt;"> </span></font><font face="Courier New" size="2"><span style="font-size:10pt;">length</span></font><font face="Courier New" size="2"><span style="font-size:10pt;">,
send by Stronswan,</span></font><font face="Courier New" size="2"><span style="font-size:10pt;"> is </span></font><font face="Courier New" size="2"><span style="font-size:10pt;">112 </span></font><font face="Courier New" size="2"><span style="font-size:10pt;">bytes</span></font><font face="Courier New" size="2"><span style="font-size:10pt;">:</span></font></div>
<div><font face="Courier New" size="2"><span style="font-size:10pt;"> </span></font></div>
<div>Sep 22 16:24:02 (none) charon: 10[NET] received packet: from 172.26.185.50[4500] to 172.26.185.82[4500] (192 bytes)       </div>
<div>Sep 22 16:24:02 (none) charon: 10[ENC] parsed IKE_AUTH response 1 [ IDr AUTH EAP/REQ/ID ]                                 </div>
<div>Sep 22 16:24:02 (none) charon: 10[IKE] authentication of '172.26.185.50' with pre-shared key successful                   </div>
<div>Sep 22 16:24:02 (none) charon: 10[IKE] server requested EAP_IDENTITY (id 0x28), sending '172.26.185.A'             </div>
<div>Sep 22 16:24:02 (none) charon: 10[IKE] reinitiating already active tasks                                           </div>
<div>Sep 22 16:24:02 (none) charon: 10[IKE]   IKE_AUTH task                                                                    </div>
<div>Sep 22 16:24:02 (none) charon: 10[ENC] generating IKE_AUTH request 2 [ EAP/RES/ID ]                                       </div>
<div>Sep 22 16:24:02 (none) charon: 10[NET] sending packet: from 172.26.185.82[4500] to 172.26.185.50[4500] (112 bytes)     </div>
<div>Sep 22 16:24:02 (none) charon: 04[NET] sending packet: from 172.26.185.82[4500] to 172.26.185.50[4500]             </div>
<div>Sep 22 16:24:02 (none) charon: 10[MGR] checkin IKE_SA vpn_FGT[1]                                                   </div>
<div>Sep 22 16:24:02 (none) charon: 10[MGR] check-in of IKE_SA successful.                                              </div>
<div>Sep 22 16:24:05 (none) charon: 11[MGR] checkout IKE_SA </div>
<div> </div>
<div>And, on Fortigate, the eap_identity is get well :</div>
<div> </div>
<div>2015-09-22 16:00:06 ike 0: comes 172.26.185.82:4500->10.0.0.2:4500,ifindex=5....</div>
<div>2015-09-22 16:00:06 ike 0: IKEv2 exchange=AUTH id=c583379a3f946357/953d7d30d37f1773:00000002 len=112</div>
<div>2015-09-22 16:00:06 ike 0: in C583379A3F946357953D7D30D37F17732E202308000000020000007030000054277F6F2974A652A7182F04E79E22EE87BC29BB3E168D409273D8396A5B1B33B5107CF299BFDF3DBBC8DEBD856D277C299A98770F6B7518AFFE87595F7EE892AD79960DB96CB20EB263E4508CE7DF11B9</div>
<div>2015-09-22 16:00:06 ike 0:poc:40: dec C583379A3F946357953D7D30D37F17732E2023080000000200000035300000040000001502280011013137322E32362E3138352E41</div>
<div>                                                                                                ############ my comment: In ascii        1  7  2  .    2   6  .  1  8   5  .  A</div>
<div>2015-09-22 16:00:06 ike 0:poc:40: responder received EAP msg</div>
<div>2015-09-22 16:00:06 ike 0:poc:40: send EAP message to FNBAM</div>
<div>2015-09-22 16:00:06 ike 0:poc:40: initiating EAP authentication</div>
<div>2015-09-22 16:00:06 ike 0:poc: EAP user "172.26.185.A"</div>
<div> </div>
<div>Why this length difference when only one char is modified ? Is it normal ?</div>
<div>Is the message sent well when eap_identity is set to “172.26.185.1”?</div>
<div> </div>
<div>For info, when I set eap_identity to 172.26.185.82 (client IP address), the message sent seems also wrong, with also a size of 96 bytes.</div>
<div> </div>
<div>For info (2), the ipsec.conf file used is:</div>
<div> </div>
<div># ipsec.conf - strongSwan IPsec configuration file</div>
<div># basic configuration</div>
<div>config setup</div>
<div>        # strictcrlpolicy=yes</div>
<div>        # uniqueids = no</div>
<div>        charondebug="cfg 2, chd 2, dmn 2, esp 2, ike 2, knl 2, mgr 2, net 3"</div>
<div># Add connections here.</div>
<div>conn %default</div>
<div>        keyexchange=ikev2</div>
<div># Sample VPN connections</div>
<div>conn vpn_FGT</div>
<div>        left=172.26.185.82</div>
<div>        leftsourceip=%config</div>
<div>        leftauth=eap</div>
<div>        leftfirewall=yes</div>
<div>        leftid=172.26.185.82</div>
<div>        eap_identity=172.26.185.1</div>
<div>        auto=start</div>
<div>        ike=aes256-sha256-modp2048</div>
<div>        esp=aes256-sha256-modp2048</div>
<div>        right=172.26.185.50</div>
<div>        rightsubnet=172.26.185.50/32</div>
<div>        rightid=%any</div>
<div>        rightauth=psk</div>
<div> </div>
<div>Thanks and regards</div>
<div> </div>
<div>Denis</div>
<div> </div>
</span></font>
</body>
</html>