<html>

  <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    <p><br>

    </p>

    <br>

    <div class="moz-cite-prefix">On 6/26/2017 10:46, Tobias Brunner

      wrote:<br>

    </div>

    <blockquote type="cite"

      cite="mid:6b4d4df3-62ab-ca25-48c1-ae0b9242d1eb@strongswan.org">

      <pre wrap="">Hi Karl,

</pre>

      <blockquote type="cite">

        <pre wrap="">StrongSwan never gets this packet.  I assume the problem here is the

length mismatch, but not certain.  What is certain is that StrongSwan

never sees it; no matter how far up I turn the logging I never see any

evidence of it being logged.

</pre>

      </blockquote>

      <pre wrap="">

Sounds like an IP fragmentation issue (message is too large -> gets

fragmented -> fragments get dropped on the way to the server -> server

never sees the complete message).  Unfortunately, you can't do much

about that on Windows if you want to use certificates as the built-in

client does not support IKEv2 fragmentation, ECDSA certificates (which

are significantly smaller than RSA certificates), or omit the client

certificate, and the certificate requests can't be controlled either

(since a Windows system has more and more CA certificates installed over

time that list gets longer and longer the older a system is).  The only

option to reduce the size of the IKE_AUTH message is to use EAP

authentication with username/password.

Regards,

Tobias

</pre>

    </blockquote>

    I've been unable to get an ECDSA certificate to import on my Android

    phone (BlackBerry DTEK60, Android 6.01) -- the same error

    occasionally bites me on the phone too during initial negotiation

    *some* of the time (looks like I got 3 fragments that have to be

    passed and one of them gets dropped often enough that the initial

    keying fails, which has to succeed before Ikev2 frag support helps.)<br>

    <br>

    Is there a known list of ECDSA certificate parameters that are known

    to work?  I can generate pretty-much anything using openssl but the

    two attempts I made specifying the curve and including it in the

    cert both failed to import (with no useful error message as to why

    on the phone end, of course.)<br>

    <br>

    And then on the Windows side is there another client known that

    properly does IkeV2 fragmentation *with* ECDSA cert support?  That

    would give me a nice consistent option for both phones and laptops

    (well, at least Windows ones.)<br>

    <br>

    Thanks in advance..<br>

    <br>

    <div class="moz-signature">-- <br>

      Karl Denninger<br>

      <a href="mailto:karl@denninger.net">karl@denninger.net</a><br>

      <i>The Market Ticker</i><br>

      <font size="-2"><i>[S/MIME encrypted email preferred]</i></font>

    </div>

  </body>

</html>