<div dir="ltr">Hi<div><br></div><div>Followup to the earlier discussion and conclusions on this issue/feature (as below):</div><div><br></div><div>1. I had a further discussions and requested some help from a Cisco-Engineer, and after analyzing the configurations done by me on the Cisco-IOS-Router (and on the Strongswan-5.3.0 IPsec-Peer, which was a Ubuntu Linux machine) on this issue</div><div><br></div><div>2. It was identified by the cisco engineer that i had misconfigured the IKEv2 KEYRING on the Cisco-IOS-Router...</div><div><br></div><div>3. As per Cisco-Engineer, in the IKEv2 Keyring config section on a Cisco-router, the PSKs are to be configured in the Peer's (strongswan) context. Therefore, in the keyring</div><div><br></div><div>"local" means peer's(strongswan) local psk-value</div><div>"remote" means peer's(strongswan) remote psk-value</div><div><br></div><div>4. So, applying the above logic in point-3, the following are the sample config (with respect to "ipsec.secrets" and cisco-ikev2-keyring configs) to be used when we have to establish a IKEv2 tunnel between Strongswan and Cisco-Router using Asymmetric-PSKs:</div><div><br></div><div>On Peer1-Strongswan (with ip-1.1.1.252))</div><div>-----------------------------</div><div><br></div><div>the ipsec.secrets will be set as:</div><div><br></div><div><div># /etc/ipsec.secrets - strongSwan IPsec secrets file</div><div>1.1.1.252 : PSK "test1234xyz"</div><div>2.2.2.123 : PSK "cisco123abc"</div></div><div><br></div><div><br></div><div>On Peer2-CiscoIOS-Router (with ip-2.2.2.123)</div><div>---------------------------------------------</div><div>the ikev2 keyring will be configured as below on this peer2</div><div><br></div><div><div>crypto ikev2 keyring IKEv2_KEYRING</div><div> peer strongswanpeer</div><div>  address 1.1.1.252</div><div>  identity address 1.1.1.252</div><div>  pre-shared-key local test1234xyz</div><div>  pre-shared-key remote cisco123abc</div></div><div><br></div><div><br></div><div>5. In summary, using the above config logic/method, i could establish successfully a IKEv2-IPsec Tunnel using Asymmetric-PSK (Asynchronous PSK) authentication between Strongswan and Cisco-Router. I have been able to successfully send/recieve traffic thru the tunnel.</div><div><br></div><div><br></div><div>Looking at the successful establishment of the IKEv2 tunnel (with Asymmentric-PSKs), </div><div><br></div><div>a) we can see that Strongswan does have the support for Asymmetric-PSKs IKEv2-authentication method</div><div><br></div><div>b) Can you please confirm whether the above is the correct conclusion? </div><div><br></div><div>c) Can you please advice whether this conclusion would be acceptable and therefore somewhat a official support in strongswan?</div><div><br></div><div>For future reference for all users of Strongswan, the complete configurations on Strongswan and on the CiscoIOS-Router are as below:<br></div><div><br></div><div>On Peer1-Strongswan</div><div>================</div><div><div># /etc/ipsec.conf - strongSwan IPsec configuration file</div><div><br></div><div>config setup</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>strictcrlpolicy=no</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>charondebug="ike 1, knl 1, cfg 1,net 1"</div><div><br></div><div>conn %default</div><div><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>ikelifetime=3h</div><div><span class="gmail-Apple-tab-span" style="white-space:pre"> </span>keylife=1h</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">     </span>mobike=no</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">      </span>dpdaction=clear</div><div><span class="gmail-Apple-tab-span" style="white-space:pre">        </span>dpddelay=30</div><div>        dpdtimeout=120</div><div><br></div><div>conn tociscortr1</div><div>        left=1.1.1.252</div><div>        leftsubnet=<a href="http://192.168.1.0/24">192.168.1.0/24</a></div><div>        right=2.2.2.123</div><div>        rightsubnet=<a href="http://192.168.25.0/24">192.168.25.0/24</a></div><div>        leftid=1.1.1.252</div><div>        rightid=2.2.2.123</div><div>        leftauth=psk</div><div>        rightauth=psk</div><div>        keyexchange=ikev2</div><div>        type=tunnel</div><div>        ike=aes128-sha-modp1024</div><div>        esp=aes128-sha</div><div>        auto=route</div></div><div><br></div><div><div>the ipsec.secrets will be set as:</div><div><br></div><div><div># /etc/ipsec.secrets - strongSwan IPsec secrets file</div><div>1.1.1.252 : PSK "test1234xyz"</div><div>2.2.2.123 : PSK "cisco123abc"</div></div></div><div><br></div><div><br></div><div>On Peer2-CiscoIOS-Router</div><div>=======================</div><div><br></div><div><div>!</div><div>version 15.4<br></div><div>service timestamps debug datetime msec</div><div>service timestamps log datetime msec</div><div>no service password-encryption</div><div>!</div><div>hostname cisco2951-router</div><div>!</div><div>boot-start-marker</div><div>boot-end-marker</div><div>!</div><div>!</div><div>enable password cisco123</div><div>!</div><div>aaa new-model</div><div>!</div><div>!</div><div>aaa authentication login authen local</div><div>aaa authentication login vpn local</div><div>aaa authentication enable default none</div><div>aaa authorization network author local </div><div>aaa authorization network vpn local </div><div>!</div><div>!</div><div>!</div><div>aaa session-id common</div><div>!</div><div>!</div><div>ip cef</div><div>no ipv6 cef</div><div>!</div><div>!<br></div><div>username cisco password 0 cisco123</div><div>username iosuser1 password 0 test1234</div><div>username iosuser2 password 0 test1234</div><div>!</div><div>redundancy</div><div>!</div><div>crypto ikev2 proposal IKEv2_PROPOSAL </div><div> encryption aes-cbc-128</div><div> integrity sha1</div><div> group 2</div><div>!</div><div>crypto ikev2 policy IKEv2_POLICY </div><div> proposal IKEv2_PROPOSAL</div><div>!</div><div>crypto ikev2 keyring IKEv2_KEYRING</div><div> peer strongswanpeer</div><div>  address 1.1.1.252</div><div>  identity address 1.1.1.252</div><div>  pre-shared-key local test1234xyz</div><div>  pre-shared-key remote cisco123abc</div><div> !</div><div>!</div><div>!</div><div>crypto ikev2 profile IKEv2_PROFILE</div><div> match identity remote address 1.1.1.252 255.255.255.255 </div><div> identity local address 2.2.2.123</div><div> authentication remote pre-share</div><div> authentication local pre-share</div><div> keyring local IKEv2_KEYRING</div><div>!</div><div>crypto ikev2 nat keepalive 10</div><div>crypto ikev2 dpd 30 5 periodic</div><div>!</div><div>!</div><div>! </div><div>crypto isakmp keepalive 30</div><div>crypto isakmp nat keepalive 10</div><div>!</div><div>!</div><div>crypto ipsec transform-set TS1 esp-aes esp-sha-hmac </div><div> mode tunnel</div><div>!</div><div>!</div><div>!</div><div>crypto map IKEv2_MAP 1000 ipsec-isakmp </div><div> set peer 1.1.1.252</div><div> set transform-set TS1 </div><div> set ikev2-profile IKEv2_PROFILE</div><div> match address s2stun1</div><div>!</div><div>!</div><div>!<br></div><div>interface GigabitEthernet0/0</div><div> description TO-TESTLAB1-NETWORK</div><div> ip address 172.24.1.253 255.255.255.0</div><div> shutdown</div><div> duplex auto</div><div> speed auto</div><div>!</div><div>interface GigabitEthernet0/1</div><div> description WAN-INTERFACE-TO-TESTSETUP</div><div> ip address 2.2.2.123 255.255.255.0</div><div> no ip proxy-arp</div><div> duplex auto</div><div> speed auto</div><div> ipv6 nd ra suppress</div><div> crypto map IKEv2_MAP</div><div>!</div><div>interface GigabitEthernet0/2</div><div> description LAN-INTERFACE-TO-TESTSETUP</div><div> ip address 192.168.25.253 255.255.255.0</div><div> no ip proxy-arp</div><div> duplex auto</div><div> speed auto</div><div> ipv6 nd ra suppress</div></div><div><div>!</div><div>ip route 0.0.0.0 0.0.0.0 2.2.2.1</div></div><div><br></div><div><div>ip access-list extended s2stun1</div><div> permit ip 192.168.25.0 0.0.0.255 192.168.1.0 0.0.0.255</div></div><div><br></div><div>==================================================</div><div><br></div><div>Awaiting your further advice and suggestions, thank you so much for your help</div><div><br></div><div>with regards</div><div>Rajiv</div><div><br></div><div><br></div><div><br></div></div>