<div dir="ltr">Hi!<div><br></div><div><div>I am trying to use strongswan for IKEv2.<br></div><div><br></div><div>The use case that I am stuck with is where strongswan acts as initiator and Ixia acts as the responder.</div><div><br></div><div>Despite setting psk as the leftauth/rightauth method in the ipsec.conf file, I see that the  IKE_AUTH is sent in the Initiator request</div><div><br></div><div>This is what the ike_auth message shows up as in strongswan</div><div><div style="font-size:12.8px">"[ IDi IDr AUTH N(ESP_TFC_PAD_N) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) <b>N(<span class="gmail-il">EAP_ONLY</span>)</b> N(MSG_ID_SYN_SUP) ]"</div></div><div><br></div><div>Shouldn't this be sent only if eap is enabled in the leftauth field? Looks like its the same issue with Cisco as well. </div><div><br></div><div>I spoke to the Ixia folks and this is what they had to say - </div><div>"After investigating this issue we found out as possible cause for it the fact that the packet IKE_AUTH sent by initiator (strongswan or even your sw) contains the EAP_ONLY payload.</div><div>  When IxLoad IPSec responder mode receives the IKE_AUTH packet containing the EAP_ONLY payload, it does not insert the Authentication payload in its IKE_AUTH response and this seems to make the initiator to send Authentication Failed."</div><div><br></div><div>So, my question - What is EAP_ONLY sent? Is this configurable not to send it?</div><div><br></div><div>- Shreyas</div></div></div>