
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:#0563C1;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-compose;

        font-family:"Calibri",sans-serif;

        color:windowtext;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri",sans-serif;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="#0563C1" vlink="#954F72">

<div class="WordSection1">

<p class="MsoNormal">I am trying to setup a test environment using Strongswan (strongSwan 5.4.0, Linux 3.10.0-327.13.1.el7.centos.plus.x86_64, x86_64) on a CentOS 7 server and TeraVM (an IPsec traffic generator) as the initiator. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">The problem I am having is TeraVM is sending an IPv4 address in the ID_INITIATOR payload, but the self-signed certificate used for authentication does not include this address.  I’ve tried a number of values for the rightid but none of

 them work.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">With <b><i>rightid=%any</i></b> or <b><i>rightid=10.15.1.1</i></b> (or left blank) it matches the connection entry for both the IKE_SA_INIT and IKE_AUTH flows, but then fails the authentication with a “no trusted RSA public key found” error:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:48 16[CFG] looking for an ike config for 192.168.0.9...10.15.1.1<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:48 16[CFG] ike config match: 1048 (192.168.0.9 10.15.1.1 IKEv2)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:48 16[CFG]   candidate: 192.168.0.9...%any, prio 1048<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:48 16[CFG] found matching ike config: 192.168.0.9...%any with prio 1048<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">…<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[IKE] received end entity cert "CN=Shenick Test Certificate"<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[CFG] looking for peer configs matching 192.168.0.9[%any]...10.15.1.1[10.15.1.1]<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[CFG] peer config match local: 1 (ID_ANY -> )<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[CFG] peer config match remote: 1 (ID_IPV4_ADDR -> 0a:0f:01:01)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[CFG] ike config match: 1048 (192.168.0.9 10.15.1.1 IKEv2)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[CFG]   candidate "shenick", match: 1/1/1048 (me/other/ike)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[CFG] selected peer config 'shenick'<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">…<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 18 12:56:49 11[IKE] no trusted RSA public key found for '10.15.1.1'<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">And, with <b><i>rightid=%"CN=Shenick Test Certificate"</i></b> it fails to match a connection for the IKE_AUTH:<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 19 09:20:43 07[IKE] received end entity cert "CN=Shenick Test Certificate"<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 19 09:20:43 07[CFG] looking for peer configs matching 192.168.0.9[%any]...10.15.1.1[10.15.1.1]<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 19 09:20:43 07[CFG] peer config match local: 1 (ID_ANY -> )<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 19 09:20:43 07[CFG] peer config match remote: 0 (ID_IPV4_ADDR -> 0a:0f:01:01)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 19 09:20:43 07[CFG] ike config match: 1048 (192.168.0.9 10.15.1.1 IKEv2)<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">Jul 19 09:20:43 07[CFG] no matching peer config found<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I tried other tests setting rightcert and rightsigkey but none of them made a difference.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">I should also state that I have limited control over the TeraVM setup, and from what I am being told we cannot change the ID value sent in the IKEv2 flows. 

<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Can anyone help with this setup?  This is for a test, not production, so if there is a simple way to tell strongswan to simply accept any certificate authentication – that would be perfect.<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Here is my latest ipsec.conf<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New""># ipsec.conf - strongSwan IPsec configuration file<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">config setup<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        cachecrls=yes<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        # strictcrlpolicy=yes<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        # uniqueids = no<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">conn %default<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        keyexchange=ike<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        rekey=no<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New""><o:p> </o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">conn shenick<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        left=192.168.0.9<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        leftsubnet=0.0.0.0/0<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        leftid=192.168.0.9<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        leftcert=clorthoHostCert.pem<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        leftsendcert=always<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        right=%any<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        rightdns=8.8.8.8,8.8.4.4<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        rightsourceip=172.16.4.0/24<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        rightid=%any<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">#        rightid=10.15.1.1<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">#        rightid=%"CN=Shenick Test Certificate”<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        authby=pubkey<o:p></o:p></span></p>

<p class="MsoNormal" style="margin-left:.5in"><span style="font-family:"Courier New"">        auto=add<o:p></o:p></span></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal">Thanks in advance for any and all help,<o:p></o:p></p>

<p class="MsoNormal">Tom<o:p></o:p></p>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

</body>

</html>