<div dir="ltr">Hi Noel,<div><br></div><div>Thanks for the quick response. To make sure I understand fully - without the <i style="font-size:small">xauth-radius</i><span style="font-size:small"> backend,<span class="inbox-inbox-Apple-converted-space"> </span></span><i style="font-size:small">eap-radius</i><span style="font-size:small"> simply encapsulates the EAP packets originating from the client within the RADIUS protocol back to the AAA. With<span class="inbox-inbox-Apple-converted-space"> </span></span><i style="font-size:small">xauth-radius</i><span style="font-size:small">, it sends XAuth credentials directly to the AAA via RADIUS (from the documentation: ".. to directly verify XAuth credentials using RADIUS User-Name and User-Password attributes.").</span><br style="font-size:small"><div style="font-size:small"><br></div><div style="font-size:small">That's where I picked up the 'translate EAP to XAuth' thought. What happens to the EAP encapsulation in this exchange? Are the XAuth credentials still nested within the EAP transfer?</div><div style="font-size:small"><br></div><div style="font-size:small">Thanks again,</div><div style="font-size:small">-Kyle</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Fri, Dec 22, 2017 at 12:52 PM Noel Kuntze <noel.kuntze+strongswan-users-ml@thermi.consulting> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
The xauth-radius authentication method encapsulates the XAUTH credentials in RADIUS packets. It does not translate an EAP conversation to XAUTH.<br>
<br>
Kind regards<br>
<br>
Noel<br>
<br>
<br>
On 22.12.2017 21:33, Kyle Seever wrote:<br>
> Hello,<br>
><br>
> I am currently trying to integrate strongSwan (v5.3.5) with a PAP-only RADIUS proxy. Currently, I'm using a client profile of IKEv2 with EAP which connects to strongSwan without issue. strongSwan is configured with /rightauth=eap-radius/ and /rightauth2=xauth-radius:profile/. My reading of the eap-radius#xauth <<a href="https://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius#XAuth" rel="noreferrer" target="_blank">https://wiki.strongswan.org/projects/strongswan/wiki/EAPRAdius#XAuth</a>> plugin was such that it would translate the EAP conversation to regular XAuth credentials sent to the RADIUS backend via the regular User-Name and User-Password attributes. When I inspect the network traffic, the plugin is still encapsulating the EAP messages back to the AAA.<br>
><br>
> What am I misunderstanding about the builtin XAuth backend in the plugin, and what are some options I have going forward? Will I have to downgrade to traditional XAuth over IKEv1?<br>
><br>
> Thanks in advance,<br>
> -Kyle<br>
<br>
</blockquote></div>