<div dir="ltr">Hi,<div><br></div><div>Any help with using the pt-tls-client and tnc-pdp plugin in a usable situation would be greatly appreciated.</div><div><br></div><div>I am using StrongSwan through a Cisco ASA like the following and I wish to use it to perform remote attestation:</div><div><span style="font-size:12.8px">Inside network --- StrongSwan gateway ====</span><a href="http://192.168.0.0/24====" target="_blank" style="font-size:12.8px">192.168.0.0/24====</a><span style="font-size:12.8px"> ASA ====</span><a href="http://192.168.1.0/24====" target="_blank" style="font-size:12.8px">192.168.1.0/24====</a><span style="font-size:12.8px"> Device</span><br></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">I have configured the StrongSwan connection between the device and the ASA, such that connecting out to the device from the inside network will automatically bring up the StrongSwan tunnel between the device and ASA and the connection established.</span><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">IKE traffic is exempt from the negotiated tunnel (preventing nested tunnels) and then blocked by the ASA. This prevents me from then setting up another connection from the gateway to the device using EAP-TTLS with remote attestation and an allow / isolate behaviour (like that of this example <a href="https://wiki.strongswan.org/projects/strongswan/wiki/IMA">https://wiki.strongswan.org/projects/strongswan/wiki/IMA</a>).<br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">The only way I have been able to get attesation measurements from the device to the gateway is by using the </span><span style="font-size:12.8px">PT-TLS protocol with the </span><span style="font-size:12.8px">pt-tls-client on the device and the </span><span style="font-size:12.8px">tnc-pdp plugin listening on the PT-TLS TCP port 271 of the </span><span style="font-size:12.8px">StrongSwan gateway. This goes through the negtioated tunnel between the device and the ASA with no issues.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">At present I am running the pt-tls-client command on the device but I have two problems:</span></div><div><ul><li>The device (<span style="font-size:12.8px">pt-tls-client command</span>) needs to have knowledge of the IP address of the <span style="font-size:12.8px">StrongSwan gateway.</span></li><li><span style="font-size:12.8px">The result will then appear in the attesation database on the </span><span style="font-size:12.8px">StrongSwan gateway but a decision will not be made to allow or isolate the device.</span></li></ul></div><div><span style="font-size:12.8px">I can not see how this can be used when connecting out to a device from the inside network, then perform attesatation to allow or block the connection based upon the measurements. Is this kind of thing possible? How can I get attestation to occur using the PT-TLS Protocol when connecting to the device from the inside network where the device doesn't have knowledge of the </span><span style="font-size:12.8px">StrongSwan gateway's IP address?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">I hope this is clear, I am happy to provide more information.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Kind regards,</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">Mario</span></div></div>