<div dir="ltr">Hi all,<div><br></div><div>I wish to use StrongSwan for remote attestation through a Cisco ASA, eg:</div><div>StrongSwan gateway ====<a href="http://192.168.0.0/24====">192.168.0.0/24====</a> ASA ====<a href="http://192.168.1.0/24====">192.168.1.0/24====</a> Device<br><div><br></div><div>With no ASA I have successfully configured StrongSwan with remote attestation using the EAP-TTLS plugin. I have also managed to configure a StrongSwan connection to the ASA, giving me access to the <a href="http://192.168.0.0/24">192.168.0.0/24</a> subnet. I am then unable to bring up the attestation connection. I was hoping it would setup a tunnel within the ASA tunnel but from what I understand IKE traffic is exempt from the negotiated tunnel (preventing nested tunnels) and then blocked by the ASA.</div><div><br></div><div>Is there a way around this / a nice way of achieving such a connection?</div><div><br></div><div>Can I use StrongSwan for TNC integrity measurement without the tls tunnel? This way the TPM and IMA measurements can be sent through the ASA tunnel with no issues. From looking around the docs it looks like the only way of performing remote attestation is with the EAP-TTLS plugin? This would also be ideal as the traffic only has to be decrypted once by the device.</div><div><br></div><div>Many thanks,</div><div><br></div><div>Mario</div></div></div>