<div dir="ltr"><div><div>-----BEGIN PGP SIGNED MESSAGE-----</div><div>Hash: SHA512</div><div><br></div><div>Hi,</div><div><br></div><div>I’m having a problem with eap-radius plugin, when a client initiates an connection, charon will immediately drop it with EAP/Fail. Log and configurations are attached.</div><div><br></div><div>Thank you in advance!</div><div><br></div><div>Oct 20 11:13:00 remote-in charon: 05[CFG] received stroke: add connection 'ikev2-in'</div><div>Oct 20 11:13:00 remote-in charon: 05[CFG] adding virtual IP address pool <a href="http://192.168.7.0/24">192.168.7.0/24</a></div><div>Oct 20 11:13:00 remote-in charon: 05[CFG] added configuration 'ikev2-in'</div><div>Oct 20 11:13:13 remote-in charon: 07[NET] received packet: from 192.168.5.30[500] to *.*.*.*[500] (604 bytes)</div><div>Oct 20 11:13:13 remote-in charon: 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]</div><div>Oct 20 11:13:13 remote-in charon: 07[IKE] 192.168.5.30 is initiating an IKE_SA</div><div>Oct 20 11:13:13 remote-in charon: 07[LIB] size of DH secret exponent: 2047 bits</div><div>Oct 20 11:13:13 remote-in charon: 07[IKE] remote host is behind NAT</div><div>Oct 20 11:13:13 remote-in charon: 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]</div><div>Oct 20 11:13:13 remote-in charon: 07[NET] sending packet: from *.*.*.*[500] to 192.168.5.30[500] (440 bytes)</div><div>Oct 20 11:13:13 remote-in charon: 09[NET] received packet: from 192.168.5.30[41784] to *.*.*.*[4500] (528 bytes)</div><div>Oct 20 11:13:13 remote-in charon: 09[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]</div><div>Oct 20 11:13:13 remote-in charon: 09[CFG] looking for peer configs matching *.*.*.*[remote-in.6]...192.168.5.30[user@remote-in.6]</div><div>Oct 20 11:13:13 remote-in charon: 09[CFG] selected peer config 'ikev2-in'</div><div>Oct 20 11:13:13 remote-in charon: 09[IKE] EAP-Identity request configured, but not supported</div><div>Oct 20 11:13:13 remote-in charon: 09[IKE] loading EAP_RADIUS method failed</div><div>Oct 20 11:13:13 remote-in charon: 09[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding</div><div>Oct 20 11:13:13 remote-in charon: 09[IKE] peer supports MOBIKE</div><div>Oct 20 11:13:13 remote-in charon: 09[ENC] generating IKE_AUTH response 1 [ IDr EAP/FAIL ]</div><div>Oct 20 11:13:13 remote-in charon: 09[NET] sending packet: from *.*.*.*[4500] to 192.168.5.30[41784] (112 bytes)</div><div><br></div><div>And there's my configuration:</div><div><br></div><div>- ---- /etc/ipsec.conf ----</div><div>config setup</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>charondebug="lib 4"</div><div>conn %default</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>ikelifetime=60m</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>keylife=20m</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>rekeymargin=3m</div><div><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>keyingtries=1</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>keyexchange=ikev2</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>type=tunnel</div><div><br></div><div>conn ikev2-in</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>auto=add</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>#leftcert=ipsec.pem</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>#leftauth=pubkey</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>left=*.*.*.*</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>leftsubnet=<a href="http://192.168.0.0/21">192.168.0.0/21</a></div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>leftid=@remote-in.6</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>leftfirewall=yes</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">       </span>right=%any</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>rightid=*@remote-in.6</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>rightauth=eap-radius</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>eap_identity=%any</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>rightsendcert=never</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>rightsourceip=<a href="http://192.168.7.0/24">192.168.7.0/24</a></div><div><br></div><div>- ---- /etc/strongswan.conf ----</div><div>charon {</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">  </span>load_modular = yes</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>plugins {</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">              </span>include strongswan.d/charon/*.conf</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>}</div><div>}</div><div><br></div><div>include strongswan.d/*.conf</div><div><br></div><div>- ---- /etc/strongswan.d/charon/eap-radius.conf ----</div><div>eap-radius {</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">    </span>load = yes</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>primary {</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">              </span>secret = ******</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">                </span>server = 127.0.0.1</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">             </span>port = 18120</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">   </span>}</div><div>}</div><div><br></div><div>- ---- ipsec statusall ----</div><div>Status of IKE charon daemon (strongSwan 5.2.1, Linux 4.7.0-0.bpo.1-amd64, x86_64):</div><div>  uptime: 13 minutes, since Oct 20 11:12:59 2016</div><div>  malloc: sbrk 2826240, mmap 0, used 629200, free 2197040</div><div>  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 0</div><div>  loaded plugins: charon ldap pkcs11 aes sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl attr kernel-netlink resolve socket-default stroke updown</div><div>Virtual IP pools (size/online/offline):</div><div>  <a href="http://192.168.7.0/24">192.168.7.0/24</a>: 254/0/0</div><div>Listening IP addresses:</div><div>  *.*.*.*</div><div>  192.168.4.2</div><div>Connections:</div><div>    ikev2-in:  *.*.*.*...%any  IKEv2</div><div>    ikev2-in:   local:  [remote-in.6] uses public key authentication</div><div>    ikev2-in:   remote: [*@remote-in.6] uses EAP_RADIUS authentication with EAP identity '%any'</div><div>    ikev2-in:   child:  <a href="http://192.168.0.0/21">192.168.0.0/21</a> === dynamic TUNNEL</div><div>Security Associations (0 up, 0 connecting):</div><div>  none</div><div><br></div><div>-----BEGIN PGP SIGNATURE-----</div><div><br></div><div>iQIcBAEBCgAGBQJYCDt/AAoJEIJzbG+rzQoPWa8P/1RRZqu8bbK3+qIne2stw3EL</div><div>3sZv/NAGnlLjnI4Q+DLLGiWwRj0anqZ4CehfDxcnNNBCvbtwVOTbVUE30i/9IYCf</div><div>wtiCNGhwYLZJVrMohBzHbZH7O4fWMyF+6RTzkDaPOM38YLsiyoe6DuiLmqm0OQPA</div><div>QksCGPVR8tsjJtv8TgO0nQ9RfaOCQlk5c9ACGBKPC7svs2QkdPpl9AMhhwn+owcz</div><div>nDyBnT0pNJWlDduLvs3gQSfRAFSdc0B7LRVidoBBC3Vw7fioUOy8WP9qaIBqIIqc</div><div>ykhrggLAqwclSt/pGlYcNwBJdDdkM9mUx1LvCpQA3FiXpeYJSFi/zhOCZ1LtLNeG</div><div>lsSqSgGhrf6/KbkP8Cqp/4s466zzvVD63qq9e+m6BZPWO5d5cHtwGBm0I+8dEQ8H</div><div>M8UVwaqiEP94dSfTurMoB0T1VBClpGsbCno8BcSTt33wyicjDk0bZlvuiO7hWZLX</div><div>DCeBOUuHxU0UkNeh99vRu0sTcxLAb/t9P4/Qaq8K04daOtUWAqUwI9/UQtBeb7Ra</div><div>knpPtwzERFYI+I13LtX+p9w2bn3jyQ2WLk/8JKX4xbnnvRlm7637/FbcP5xr3KrH</div><div>Oq+cORE6kfRL9RKZCs6yjRi1j2QKOZfuCJl0Rs0UvKbh8wRBELTyp6KoTsL+pghx</div><div>crLaCfWKhJHLP5Y47G9G</div><div>=Sp8i</div><div>-----END PGP SIGNATURE-----</div></div><div>-- </div><div><br><div class="gmail-m_-9063235357350680387gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><font face="monospace, monospace">Regards,<br><br>Quan Zhou<br></font><span style="font-family:monospace,monospace;font-size:12.8px">+------------------------+</span></div><div dir="ltr"><font face="monospace, monospace">|pub [expires 2019-05-04]|</font><br style="font-family:monospace,monospace;font-size:12.8px"><font face="monospace, monospace">|D7CF DCE8 2EBA 2766 499A</font><span style="font-family:monospace,monospace;font-size:12.8px">|</span></div><div dir="ltr"><font face="monospace, monospace">|</font><span style="font-family:monospace,monospace;font-size:12.8px">20DF 8273 6C6F ABCD 0A0F</span><span style="font-family:monospace,monospace;font-size:12.8px">|</span></div><div dir="ltr"><font face="monospace, monospace">+------------------------+<br>|pub [revoked 2016-04-16]|<br>|44D2 0307 1643 E80F 2E31|<br>|F081 FAFA 6643 7F9F D46F|<br>+------------------------+<br>|<a href="mailto:quanzhou822@gmail.com" target="_blank">quanzhou822@gmail.com</a>   |<br>|<a href="https://keybase.io/qzhou" target="_blank">https://keybase.io/qzhou</a>|<br>+------------------------+<br></font></div></div></div></div></div></div></div></div></div></div>
</div></div>