<html>
  <head>
    <meta content="text/html; charset=utf-8" http-equiv="Content-Type">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    Thanks for the solution.<br>
    IPv6 problem can be solved in a very similar way—by sending Router
    Advertisement to the Router Solicitation.<br>
    <a class="moz-txt-link-freetext"
      href="https://wiki.strongswan.org/issues/817#note-4">https://wiki.strongswan.org/issues/817#note-4</a><br>
    <br>
    I think I'll add these Windows oddities to wiki.<br>
    <br>
    On 06/15/2016 10:14 AM, Peter Bieringer wrote:<br>
    <blockquote
      cite="mid:a6784f2d-5396-4777-1bc7-256c2aba9309@bieringer.de"
      type="cite">
      <pre wrap="">Hi all,

problem solved by following workaround (IP addresses are examples,
server has 172.16.1.254 and clients out of 172.16.1.0/24):

1) patching ISC DHCP daemon to be usable also on tunnel interfaces like
ipsec0 (small patch, basic code is already included for "infiniband"
support), attached

2) create DHCP config which overwrites the default route of W10 by 2
more narrowed routes:
        0.0.0.0/1 via 172.16.1.254
        128.0.0.0/1 via 172.16.1.254

by using DHCP option
    ms-classless-static-routes 1, 0, 172, 16, 1, 254, 1, 128, 172, 16,
1, 254;

3) configuring following startup-actions in strongswan
3a) configure an IPv4 address on the ipsec0 interface
3b) start patched DHCP daemon with related config

4) watch with tcpdump on ipsec0

5) Connect with Windows (Phone) 10 via IKEv2, see incoming DHCP inform
request (see original posting) and outgoing DHCP inform response:

08:13:20.551382 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto
UDP (17), length 328)
    172.16.1.254.bootps > 172.16.1.1.bootpc: BOOTP/DHCP, Reply, length
300, htype 8, hlen 0, xid ***, secs 1536, Flags [none]
          Client-IP 172.16.1.1
          Vendor-rfc1048 Extensions
            Magic Cookie ***
            DHCP-Message Option 53, length 1: ACK
            Server-ID Option 54, length 4: 172.16.1.254
            Domain-Name-Server Option 6, length 8: 8.8.8.8,8.8.4.4
            Subnet-Mask Option 1, length 4: 255.255.255.0
            Classless-Static-Route-Microsoft Option 249, length 12:
(0.0.0.0/1:172.16.1.254),(128.0.0.0/1:172.16.1.254)

6) tcpdump should now show a lot of traffic, much more than without
sending the routes via DHCP inform response.


Open issues: if IPv6 is also available on the link (e.g. WLAN or via
Cellular Data) then IPv6 traffic is bypassing VPN - but that is a
general VPN topic, heard that also commercial VPN clients (at least for
Windows) have such issues, too.


If strongswan team is interested to have this documented in detail in
the strongswan Wiki, please point me to the (new) page where to add.

I would also add the attached ISC DHCP daemon patch there.

Hope this helps!

Regards,
        Peter


Am 06.06.2016 um 07:41 schrieb Peter Bieringer:
</pre>
      <pre wrap="">
</pre>
      <br>
      <fieldset class="mimeAttachmentHeader"></fieldset>
      <br>
      <pre wrap="">_______________________________________________
Users mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Users@lists.strongswan.org">Users@lists.strongswan.org</a>
<a class="moz-txt-link-freetext" href="https://lists.strongswan.org/mailman/listinfo/users">https://lists.strongswan.org/mailman/listinfo/users</a></pre>
    </blockquote>
    <br>
  </body>
</html>