<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><body><div data-html-editor-font-wrapper="true" style="font-family: arial, sans-serif; font-size: 13px;">Hi,<br><br>It seems that you have set both auth_port and acct_port to 1812, while acct_port should be udp/1813. Can you please check if changing that fixes the issue?<br><br>Nikola<br><br>September 23, 2018 8:36 AM, "Konstantin Votinov" <<a target="_blank" tabindex="-1" href="mailto:votinov@protonmail.com?to=%22Konstantin%20Votinov%22%20<votinov@protonmail.com>">votinov@protonmail.com</a>> wrote:<br> <blockquote><div><div> <div>Hi all,</div> <div></div> <div>I am having issues with eap-radius plugin when "accounting = yes" is set.</div> <div></div> <div>I have IPSec and IKEv2 connections set up in Strongswan.</div> <div></div> <div>IPSec(conn IKEv1-PSK-XAuth) works correctly whether accounting is set to "no" or "yes"</div> <div></div> <div>IKEv2(conn ikev2-mschapv2-apple) doesn't connect with accounting set to "yes", but connects with accounting set to "no"</div> <div></div> <div>I've tried to increase the timeout, but it didn't worked.</div> <div>Below is the log for IKEv2 connection attempt:</div> <div></div> <div>Sep 23 15:21:35 07[NET] received packet: from this.is.my.ip[33584] to this.is.server.ip[500] (304 bytes)</div> <div>Sep 23 15:21:35 07[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]</div> <div>Sep 23 15:21:35 07[IKE] this.is.my.ip is initiating an IKE_SA</div> <div>Sep 23 15:21:35 07[IKE] remote host is behind NAT</div> <div>Sep 23 15:21:35 07[IKE] sending cert request for "C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority"</div> <div>Sep 23 15:21:35 07[IKE] sending cert request for "C=IL, O=StartCom Ltd., OU=StartCom Certification Authority, CN=StartCom Class 1 DV Server CA"</div> <div>Sep 23 15:21:35 07[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(FRAG_SUP) N(MULT_AUTH) V ]</div> <div>Sep 23 15:21:35 07[NET] sending packet: from this.is.server.ip[500] to this.is.my.ip[33584] (385 bytes)</div> <div>Sep 23 15:21:35 10[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (348 bytes)</div> <div>Sep 23 15:21:35 10[ENC] unknown attribute type (25)</div> <div>Sep 23 15:21:35 10[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr N(EAP_ONLY) ]</div> <div>Sep 23 15:21:35 10[CFG] looking for peer configs matching this.is.server.ip[ikev2.mydomain.net]...this.is.my.ip[192.168.1.137]</div> <div>Sep 23 15:21:35 10[CFG] selected peer config 'ikev2-mschapv2-apple'</div> <div>Sep 23 15:21:35 10[IKE] initiating EAP_IDENTITY method (id 0x00)</div> <div>Sep 23 15:21:35 10[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding</div> <div>Sep 23 15:21:35 10[IKE] peer supports MOBIKE</div> <div>Sep 23 15:21:35 10[IKE] authentication of 'ikev2.mydomain.net' (myself) with RSA signature successful</div> <div>Sep 23 15:21:35 10[IKE] sending end entity cert "C=IL, CN=ikev2.mydomain.net"</div> <div>Sep 23 15:21:35 10[IKE] sending issuer cert "C=IL, O=StartCom Ltd., OU=StartCom Certification Authority, CN=StartCom Class 1 DV Server CA"</div> <div>Sep 23 15:21:35 10[ENC] generating IKE_AUTH response 1 [ IDr CERT CERT AUTH EAP/REQ/ID ]</div> <div>Sep 23 15:21:35 10[ENC] splitting IKE message with length of 3660 bytes into 4 fragments</div> <div>Sep 23 15:21:35 10[ENC] generating IKE_AUTH response 1 [ EF(1/4) ]</div> <div>Sep 23 15:21:35 10[ENC] generating IKE_AUTH response 1 [ EF(2/4) ]</div> <div>Sep 23 15:21:35 10[ENC] generating IKE_AUTH response 1 [ EF(3/4) ]</div> <div>Sep 23 15:21:35 10[ENC] generating IKE_AUTH response 1 [ EF(4/4) ]</div> <div>Sep 23 15:21:35 10[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (1248 bytes)</div> <div>Sep 23 15:21:35 10[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (1248 bytes)</div> <div>Sep 23 15:21:35 10[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (1248 bytes)</div> <div>Sep 23 15:21:35 10[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (112 bytes)</div> <div>Sep 23 15:21:35 14[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (92 bytes)</div> <div>Sep 23 15:21:35 14[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]</div> <div>Sep 23 15:21:35 14[IKE] received EAP identity 'ligykpif'</div> <div>Sep 23 15:21:35 14[CFG] sending RADIUS Access-Request to server 'radiusServer'</div> <div>Sep 23 15:21:35 14[CFG] received RADIUS Access-Challenge from server 'radiusServer'</div> <div>Sep 23 15:21:35 14[IKE] initiating EAP_MD5 method (id 0x01)</div> <div>Sep 23 15:21:35 14[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MD5 ]</div> <div>Sep 23 15:21:35 14[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (92 bytes)</div> <div>Sep 23 15:21:35 08[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (76 bytes)</div> <div>Sep 23 15:21:35 08[ENC] parsed IKE_AUTH request 3 [ EAP/RES/NAK ]</div> <div>Sep 23 15:21:35 08[CFG] sending RADIUS Access-Request to server 'radiusServer'</div> <div>Sep 23 15:21:35 08[CFG] received RADIUS Access-Challenge from server 'radiusServer'</div> <div>Sep 23 15:21:35 08[ENC] generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]</div> <div>Sep 23 15:21:35 08[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (108 bytes)</div> <div>Sep 23 15:21:35 14[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (140 bytes)</div> <div>Sep 23 15:21:35 14[ENC] parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]</div> <div>Sep 23 15:21:35 14[CFG] sending RADIUS Access-Request to server 'radiusServer'</div> <div>Sep 23 15:21:35 14[CFG] received RADIUS Access-Challenge from server 'radiusServer'</div> <div>Sep 23 15:21:35 14[ENC] generating IKE_AUTH response 4 [ EAP/REQ/MSCHAPV2 ]</div> <div>Sep 23 15:21:35 14[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (124 bytes)</div> <div>Sep 23 15:21:35 10[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (76 bytes)</div> <div>Sep 23 15:21:35 10[ENC] parsed IKE_AUTH request 5 [ EAP/RES/MSCHAPV2 ]</div> <div>Sep 23 15:21:35 10[CFG] sending RADIUS Access-Request to server 'radiusServer'</div> <div>Sep 23 15:21:35 10[CFG] received RADIUS Access-Accept from server 'radiusServer'</div> <div>Sep 23 15:21:35 10[IKE] RADIUS authentication of 'ligykpif' successful</div> <div>Sep 23 15:21:35 10[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established</div> <div>Sep 23 15:21:35 10[ENC] generating IKE_AUTH response 5 [ EAP/SUCC ]</div> <div>Sep 23 15:21:35 10[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (76 bytes)</div> <div>Sep 23 15:21:36 15[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (92 bytes)</div> <div>Sep 23 15:21:36 15[ENC] parsed IKE_AUTH request 6 [ AUTH ]</div> <div>Sep 23 15:21:36 15[IKE] authentication of '192.168.1.137' with EAP successful</div> <div>Sep 23 15:21:36 15[IKE] authentication of 'ikev2.mydomain.net' (myself) with EAP</div> <div>Sep 23 15:21:36 15[IKE] IKE_SA ikev2-mschapv2-apple[2] established between this.is.server.ip[ikev2.mydomain.net]...this.is.my.ip[192.168.1.137]</div> <div>Sep 23 15:21:36 15[IKE] peer requested virtual IP %any</div> <div>Sep 23 15:21:36 15[CFG] reassigning offline lease to 'ligykpif'</div> <div>Sep 23 15:21:36 15[IKE] assigning virtual IP 10.0.12.1 to peer 'ligykpif'</div> <div>Sep 23 15:21:36 15[IKE] peer requested virtual IP %any6</div> <div>Sep 23 15:21:36 15[IKE] no virtual IP found for %any6 requested by 'ligykpif'</div> <div>Sep 23 15:21:36 15[IKE] CHILD_SA ikev2-mschapv2-apple{2} established with SPIs c8cc7f31_i 0164b11e_o and TS 0.0.0.0/0 ::/0 === 10.0.12.1/32</div> <div>Sep 23 15:21:36 15[CFG] sending RADIUS Accounting-Request to server 'radiusServer'</div> <div>Sep 23 15:21:38 15[CFG] retransmit 1 of RADIUS Accounting-Request (timeout: 2.8s)</div> <div>Sep 23 15:21:40 15[CFG] retransmit 2 of RADIUS Accounting-Request (timeout: 3.9s)</div> <div>Sep 23 15:21:44 15[CFG] retransmit 3 of RADIUS Accounting-Request (timeout: 5.5s)</div> <div>Sep 23 15:21:46 16[MGR] ignoring request with ID 6, already processing</div> <div>Sep 23 15:21:50 15[CFG] RADIUS Accounting-Request timed out after 4 attempts</div> <div>Sep 23 15:21:50 15[CFG] deleting IKE_SA after RADIUS timeout</div> <div>Sep 23 15:21:50 15[ENC] generating IKE_AUTH response 6 [ AUTH CPRP(ADDR DNS DNS DNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) ]</div> <div>Sep 23 15:21:50 15[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (284 bytes)</div> <div>Sep 23 15:21:50 13[IKE] deleting IKE_SA ikev2-mschapv2-apple[2] between this.is.server.ip[ikev2.mydomain.net]...this.is.my.ip[192.168.1.137]</div> <div>Sep 23 15:21:50 13[IKE] sending DELETE for IKE_SA ikev2-mschapv2-apple[2]</div> <div>Sep 23 15:21:50 13[ENC] generating INFORMATIONAL request 0 [ D ]</div> <div>Sep 23 15:21:50 13[NET] sending packet: from this.is.server.ip[4500] to this.is.my.ip[33585] (76 bytes)</div> <div>Sep 23 15:21:50 16[NET] received packet: from this.is.my.ip[33585] to this.is.server.ip[4500] (76 bytes)</div> <div>Sep 23 15:21:50 16[ENC] parsed INFORMATIONAL response 0 [ ]</div> <div>Sep 23 15:21:50 16[IKE] IKE_SA deleted</div> <div>Sep 23 15:21:50 16[CFG] sending RADIUS Accounting-Request to server 'radiusServer'</div> <div></div> <div>ipsec.conf is as follows:</div> <div></div> <div>config setup</div> <div>uniqueids=no</div> <div>charondebug="cfg 2, dmn 2, ike 2, net 0"</div> <div></div> <div>conn %default</div> <div>dpdaction=clear</div> <div>dpddelay=300s</div> <div>rekey=no</div> <div>left=%defaultroute</div> <div>leftfirewall=yes</div> <div>right=%any</div> <div>ikelifetime=60m</div> <div>keylife=20m</div> <div>rekeymargin=3m</div> <div>keyingtries=1</div> <div>auto=add</div> <div></div> <div>conn L2TP-IKEv1-PSK</div> <div>type=transport</div> <div>keyexchange=ikev1</div> <div>authby=secret</div> <div>leftprotoport=udp/l2tp</div> <div>left=%any</div> <div>right=%any</div> <div>rekey=no</div> <div>forceencaps=yes</div> <div></div> <div>conn Non-L2TP</div> <div>leftsubnet=0.0.0.0/0</div> <div>rightsubnet=10.0.2.0/24</div> <div>rightsourceip=10.0.2.0/24</div> <div></div> <div># Cisco IPSec</div> <div>conn IKEv1-PSK-XAuth</div> <div>also=Non-L2TP</div> <div>keyexchange=ikev1</div> <div>leftauth=psk</div> <div>rightauth=psk</div> <div>rightauth2=xauth-radius</div> <div></div> <div>conn ikev2-mschapv2</div> <div>ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!</div> <div>esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!</div> <div>keyexchange=ikev2</div> <div>auto=add</div> <div>reauth=no</div> <div>fragmentation=yes</div> <div>leftcert=ius.mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/</div> <div>leftsendcert=always</div> <div>leftsubnet=0.0.0.0/0</div> <div>eap_identity=%identity</div> <div>rightsubnet=10.0.12.0/24</div> <div>rightsourceip=10.0.12.0/24</div> <div>rightdns=8.8.8.8</div> <div>rightauth=eap-radius</div> <div></div> <div># Apple clients usually goes here</div> <div>conn ikev2-mschapv2-apple</div> <div>ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!</div> <div>esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!</div> <div>keyexchange=ikev2</div> <div>auto=add</div> <div>reauth=no</div> <div>fragmentation=yes</div> <div>leftcert=ius.mydomain.net.crt # Filename of certificate located at /etc/ipsec.d/certs/</div> <div>leftsendcert=always</div> <div>leftsubnet=0.0.0.0/0,::/0</div> <div>eap_identity=%identity</div> <div>rightsubnet=10.0.12.0/24</div> <div>rightsourceip=10.0.12.0/24</div> <div>rightdns=8.8.8.8</div> <div>rightauth=eap-radius</div> <div>leftid=ikev2.mydomain.net</div> <div></div> <div></div> <div>strongswan.conf is below:</div> <div></div> <div>charon {</div> <div>use_ipv6 = no</div> <div>load_modular = yes</div> <div>send_vendor_id = yes</div> <div>filelog {</div> <div>/var/log/strongswan.charon.log {</div> <div>time_format = %b %e %T</div> <div>default = 1</div> <div>append = no</div> <div>flush_line = yes</div> <div>}</div> <div>}</div> <div></div> <div>plugins {</div> <div>eap-radius {</div> <div>station_id_with_port = no</div> <div>accounting = yes</div> <div>servers {</div> <div>radiusServer {</div> <div>nas_identifer = this.is.server.ip</div> <div>secret = radiuspassword</div> <div>address = radius.server.ip</div> <div>auth_port = 1812 # default</div> <div>acct_port = 1812 # default</div> <div>}</div> <div></div> <div>}</div> <div>}</div> <div>include strongswan.d/charon/*.conf</div> <div>attr {</div> <div>dns = 8.8.8.8, 8.8.4.4</div> <div>}</div> <div>}</div> <div>}</div> <div>include strongswan.d/*.conf</div> <div></div> <div></div> <div>I am really out of the ideas on what can cause the issue.</div> <div>Maybe someone had a similar problem?</div> <div>Any help will be appreciated!</div> <div></div> <div>Thanks in advance!</div> <div></div> </div></div></blockquote> <br><br><signature></signature> </div></body></html>