<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">

<meta name="Generator" content="Microsoft Word 15 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:#954F72;

        text-decoration:underline;}

pre

        {mso-style-priority:99;

        mso-style-link:"HTML Preformatted Char";

        margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

span.apple-converted-space

        {mso-style-name:apple-converted-space;}

p.m5834563087877639267m100642945487062136xmsonormal, li.m5834563087877639267m100642945487062136xmsonormal, div.m5834563087877639267m100642945487062136xmsonormal

        {mso-style-name:m_5834563087877639267m_100642945487062136x_msonormal;

        mso-margin-top-alt:auto;

        margin-right:0in;

        mso-margin-bottom-alt:auto;

        margin-left:0in;

        font-size:11.0pt;

        font-family:"Calibri",sans-serif;}

span.HTMLPreformattedChar

        {mso-style-name:"HTML Preformatted Char";

        mso-style-priority:99;

        mso-style-link:"HTML Preformatted";

        font-family:"Courier New";}

.MsoChpDefault

        {mso-style-type:export-only;}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style>

<div class="WordSection1">

<p class="MsoNormal">Ah, good catch, Jean-Daniel. If that works, it would indeed address Matthieu’s concerns.</p>

<p class="MsoNormal"><o:p> </o:p></p>

<div style="mso-element:para-border-div;border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal" style="border:none;padding:0in"><b>From: </b><a href="mailto:jddupas@xooloo.com">Jean-Daniel Dupas</a><br>

<b>Sent: </b>Thursday, October 11, 2018 7:44 AM<br>

<b>To: </b><a href="mailto:users@lists.strongswan.org">users@lists.strongswan.org</a><br>

<b>Subject: </b>Re: [strongSwan] Ikev2 wildcards with MacOs clients</p>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>I don't have many experience with ipsec, but I think it is possible to specify different accepted CA for each connection when using swanctl.conf.

<div class=""><br class="">

</div>

<div class="">"</div>

<div class=""><span style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px; background-color: rgb(240, 240, 240);" class="">connections.<conn>.remote<suffix>.cacerts: </span><span style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px; background-color: rgb(255, 255, 255);" class="">Comma

 separated list of CA certificates to accept for authentication. The certificates may use a relative path from the </span><strong style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px;" class="">swanctl</strong><span style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px; background-color: rgb(255, 255, 255);" class=""> </span><em style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px;" class="">x509ca</em><span style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px; background-color: rgb(255, 255, 255);" class=""> directory

 or an absolute path.</span></div>

<div class=""><span style="caret-color: rgb(54, 0, 12); color: rgb(54, 0, 12); font-family: Verdana, sans-serif; font-size: 10.800000190734863px; background-color: rgb(255, 255, 255);" class="">"</span></div>

<div class=""><br class="">

</div>

<div class="">So you should just generate cert with one CA for the first group, and an other CA for the second group.</div>

<div class=""><br class="">

</div>

<div class="">

<div class="">

<div><br class="">

<blockquote type="cite" class="">

<div class="">Le 11 oct. 2018 à 16:34, bls s <<a href="mailto:bls3427@outlook.com" class="">bls3427@outlook.com</a>> a écrit :</div>

<br class="Apple-interchange-newline">

<div class="">

<div class="WordSection1" style="page: WordSection1; caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;">

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

In the general sense it’s secure, since the connection is validated by the certs. However, in your particular use case, it does seem that a user could change the Remote ID and access the other VPN subnet. I can’t think of a way offhand to use a cert-based implementation

 to avoid that, other than using two VPNs, one for each subnet group (with each VPN having a separate root CA cert so no crossover is possible).</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

<o:p class=""> </o:p></div>

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

Even if you went to an id/password-based mechanism, you’ll need some way to distinguish the groups. A connection per user would get you there, but that will dramatically increase management complexity, so two VPN servers might be a more management-efficient

 approach.</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

<o:p class=""> </o:p></div>

<div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(225, 225, 225); padding: 3pt 0in 0in;" class="">

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; border: none; padding: 0in;" class="">

<b class="">From:<span class="Apple-converted-space"> </span></b><a href="mailto:matthieu.nantern@margo.com" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">Matthieu Nantern</a><br class="">

<b class="">Sent:<span class="Apple-converted-space"> </span></b>Thursday, October 11, 2018 6:47 AM<br class="">

<b class="">To:<span class="Apple-converted-space"> </span></b><a href="mailto:bls3427@outlook.com" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls3427@outlook.com</a><br class="">

<b class="">Cc:<span class="Apple-converted-space"> </span></b><a href="mailto:users@lists.strongswan.org" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">users@lists.strongswan.org</a><br class="">

<b class="">Subject:<span class="Apple-converted-space"> </span></b>Re: [strongSwan] Ikev2 wildcards with MacOs clients</div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

<o:p class=""> </o:p></div>

</div>

<div style="caret-color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant-caps: normal; font-weight: normal; letter-spacing: normal; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; word-spacing: 0px; -webkit-text-stroke-width: 0px; text-decoration: none;" class="">

<div dir="ltr" class="">

<div class="">It's working but I'm wondering if it's really secure ? A user can just change its Remote ID and gain access to the other networks, no ?</div>

<div class=""><br class="">

</div>

<div class="">I want something that is server side. I can create one connection for each user but it's ugly !<br class="">

</div>

</div>

<br class="">

<div class="gmail_quote">

<div dir="ltr" class="">Le lun. 8 oct. 2018 à 21:05, bls s <<a href="mailto:bls3427@outlook.com" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls3427@outlook.com</a>> a écrit :<br class="">

</div>

<blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); padding-left: 1ex;">

<div class="">

<div class="m_5834563087877639267WordSection1">

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

Definitely interested in seeing it replicated. As an aside, I updated my CA management app<span class="Apple-converted-space"> </span><a href="https://github.com/gitbls/pistrong" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">https://github.com/gitbls/pistrong</a><span class="Apple-converted-space"> </span>with

 more flexibility to generate this type of VPN cert. Unfortunately, it’s fully built around swanctl/systemd, not the legacy ipsec/ipsec.conf/… configuration. But, if you run into any issues, happy to help you wrangle it into debug mode to use that part of the

 tool.</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

<u class=""></u> <u class=""></u></div>

<div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(225, 225, 225); padding: 3pt 0in 0in;" class="">

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif; border: none; padding: 0in;" class="">

<b class="">From:<span class="Apple-converted-space"> </span></b><a href="mailto:matthieu.nantern@margo.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">Matthieu Nantern</a><br class="">

<b class="">Sent:<span class="Apple-converted-space"> </span></b>Sunday, October 7, 2018 11:23 PM<br class="">

<b class="">To:<span class="Apple-converted-space"> </span></b><a href="mailto:bls3427@outlook.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls3427@outlook.com</a><br class="">

<b class="">Cc:<span class="Apple-converted-space"> </span></b><a href="mailto:users@lists.strongswan.org" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">users@lists.strongswan.org</a><br class="">

<b class="">Subject:<span class="Apple-converted-space"> </span></b>Re: [strongSwan] Ikev2 wildcards with MacOs clients</div>

</div>

<div style="margin: 0in 0in 0.0001pt; font-size: 11pt; font-family: Calibri, sans-serif;" class="">

<u class=""></u> <u class=""></u></div>

</div>

<div class="">

<div dir="ltr" class="">

<div class="">Very good idea ! I will try that this week and will let you know if it works !<span class="Apple-converted-space"> </span><br class="">

</div>

<div class=""><br class="">

</div>

<div class="">Thank you !<br class="">

</div>

</div>

<br class="">

<div class="gmail_quote">

<div dir="ltr" class="">Le dim. 7 oct. 2018 à 00:17, bls s <<a href="mailto:bls3427@outlook.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls3427@outlook.com</a>> a écrit :<br class="">

</div>

<blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); padding-left: 1ex;">

<div class="">

<div lang="EN-US" link="blue" vlink="#954F72" class="">

<div class="m_5834563087877639267m_100642945487062136x_WordSection1">

<p class="m_5834563087877639267m_100642945487062136x_MsoNormal">I just did a quick test using my iPhone, and it appears to work just fine. Using 2 strongSwan profiles, each profile has a different VPN cert, with different altNames in the cert. By changing the

 Remote ID on iOS I was able to authenticate with each of the 2 profiles.</p>

<div class=""> <br class="webkit-block-placeholder">

</div>

<div style="border-style: solid none none; border-top-width: 1pt; border-top-color: rgb(225, 225, 225); padding: 3pt 0in 0in;" class="">

<p class="m_5834563087877639267m_100642945487062136x_MsoNormal" style="border: none; padding: 0in;">

<b class="">From:<span class="Apple-converted-space"> </span></b><a href="mailto:bls3427@outlook.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls s</a><br class="">

<b class="">Sent:<span class="Apple-converted-space"> </span></b>Friday, October 5, 2018 6:54 AM<br class="">

<b class="">To:<span class="Apple-converted-space"> </span></b><a href="mailto:matthieu.nantern@margo.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">Matthieu Nantern</a><br class="">

<b class="">Cc:<span class="Apple-converted-space"> </span></b><a href="mailto:users@lists.strongswan.org" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">users@lists.strongswan.org</a><br class="">

<b class="">Subject:<span class="Apple-converted-space"> </span></b>Re: [strongSwan] Ikev2 wildcards with MacOs clients</p>

</div>

<div class=""> <br class="webkit-block-placeholder">

</div>

</div>

</div>

<font size="2" class=""><span style="font-size: 11pt;" class="">

<div class="m_5834563087877639267m_100642945487062136PlainText">I haven't looked into this in detail, but could you use different VPN certs for each subnet? Each VPN cert would be in a different conn section, and they would have different altNames (SAN). If

 I understand the MacOS VPN config correctly (looks a lot like iOS), when certs are installed onto MacOS, you can specify the Remote ID, which is the SAN that matches that of the VPN cert.<br class="">

<br class="">

From: Matthieu Nantern <<a href="mailto:matthieu.nantern@margo.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">matthieu.nantern@margo.com</a>><br class="">

Sent: Thursday, October 4, 2018 11:31 PM<br class="">

To:<span class="Apple-converted-space"> </span><a href="mailto:bls3427@outlook.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls3427@outlook.com</a><br class="">

Cc:<span class="Apple-converted-space"> </span><a href="mailto:users@lists.strongswan.org" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">users@lists.strongswan.org</a><br class="">

Subject: Re: [strongSwan] Ikev2 wildcards with MacOs clients<br class="">

 <br class="">

We are using certificates (one for each client device) but I have 2 networks: n1 and n2. And I want that some users can access n1 and others n1 + n2.<br class="">

<br class="">

<br class="">

I wanted to make the distinction by using a conf like that:<br class="">

<br class="">

<br class="">

conn alice<br class="">

        leftsubnet=<a href="http://10.1.0.10/32" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">10.1.0.10/32</a><br class="">

        right=%any<br class="">

        rightid="C=CH, O=Linux strongSwan, OU=Research, CN=*"<br class="">

        auto=add<br class="">

       <span class="Apple-converted-space"> </span><br class="">

conn venus<br class="">

        leftsubnet=<a href="http://10.1.0.20/32" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">10.1.0.20/32</a><br class="">

        right=%any<br class="">

        rightid="C=CH, O=Linux strongSwan, OU=Accounting, CN=*"<br class="">

        auto=add<br class="">

But unfortunately with MacOs client I don't have the Distinguished Names but only the FQDN:<br class="">

<br class="">

<br class="">

ikev2-pubkey[1216]: ESTABLISHED 2 minutes ago, 10.8.1.113[<a href="http://vpn.test.net/" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">vpn.test.net</a>]...213.41.12.162[<a href="mailto:firstname.lastname@test.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">firstname.lastname@test.com</a>]<br class="">

ikev2-pubkey{2102}:  INSTALLED, TUNNEL, reqid 325, ESP in UDP SPIs: c4d64307_i 0c4df008_o<br class="">

<br class="">

<br class="">

And if you compare that with the StrongSwan Android client:<br class="">

<br class="">

<br class="">

ikev2-pubkey[1217]: ESTABLISHED 4 seconds ago, 10.8.1.113[<a href="http://vpn.test.net/" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">vpn.test.net</a>]...213.41.12.162[C=FR, O=Test, OU=Prod, CN=<a href="mailto:firstname.lastname@test.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">firstname.lastname@test.com</a>]<br class="">

ikev2-pubkey{2103}:  INSTALLED, TUNNEL, reqid 326, ESP in UDP SPIs: c3b37b06_i be7247e0_o<br class="">

<br class="">

<br class="">

So I cannot route my users according to their certificates and I was wondering what can I do ?<br class="">

<br class="">

<br class="">

<br class="">

Le jeu. 4 oct. 2018 à 19:42, bls s <<a href="mailto:bls3427@outlook.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">bls3427@outlook.com</a>> a écrit :<br class="">

<br class="">

Someone will likely explain why using certificates sucks, but if you use certificates (one for each client device) you'll have fine-grained user access control (by revoking/deleting certs), and you don't need to list all the enabled certs anywhere in your config

 file.<br class="">

From: Users <<a href="mailto:users-bounces@lists.strongswan.org" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">users-bounces@lists.strongswan.org</a>> on behalf of Matthieu Nantern <<a href="mailto:matthieu.nantern@margo.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">matthieu.nantern@margo.com</a>><br class="">

Sent: Thursday, October 4, 2018 8:41 AM<br class="">

To:<span class="Apple-converted-space"> </span><a href="mailto:users@lists.strongswan.org" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">users@lists.strongswan.org</a><br class="">

Subject: Re: [strongSwan] Ikev2 wildcards with MacOs clients<br class="">

 <br class="">

Is it possible to have multiple email address in the “rightid“ parameter ? Maybe I can list all authorized users for each server instead of relying on Distinguished Names ?<br class="">

<br class="">

<br class="">

<br class="">

Le mer. 3 oct. 2018 à 08:42, Matthieu Nantern <<a href="mailto:matthieu.nantern@margo.com" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">matthieu.nantern@margo.com</a>> a écrit :<br class="">

<br class="">

Hi !<br class="">

<br class="">

<br class="">

I installed StrongSwan to allow my users (mainly MacOs X clients) to use the native ikev2 authentication. Everything is working fine.<br class="">

<br class="">

<br class="">

Now I would like to implement something like that :<span class="Apple-converted-space"> </span><a href="https://www.strongswan.org/testing/testresults/ikev2/wildcards/index.html" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">https://www.strongswan.org/testing/testresults/ikev2/wildcards/index.html</a><span class="Apple-converted-space"> </span>;

 allowing some clients to access some network and not the others.<br class="">

<br class="">

<br class="">

Unfortunately I didn't see (or understand) the issue on that page (<a href="https://wiki.strongswan.org/projects/strongswan/wiki/AppleIKEv2Profile" target="_blank" style="color: rgb(149, 79, 114); text-decoration: underline;" class="">https://wiki.strongswan.org/projects/strongswan/wiki/AppleIKEv2Profile</a>)

 :<br class="">

<br class="">

<br class="">

ASN.1 Distinguished Names can't be used as identities because the client currently sends them as identities of type FQDN.<br class="">

<br class="">

<br class="">

As a result when I put rightid in my configuration it's not working because MacOsX is only sending a fqdn (an email address in my case) and not the Distinguished Name.<br class="">

<br class="">

<br class="">

<br class="">

My question is how can allow (or deny) some network to some user?<br class="">

<br class="">

<br class="">

<br class="">

I have a file that associates email address to "role" but I don't know how to use it. Maybe a plugin?<br class="">

<br class="">

<br class="">

Any ideas/links?<br class="">

<br class="">

<br class="">

Thank you!<br class="">

<br class="">

--<br class="">

<br class="">

Matthieu Nantern<br class="">

<br class="">

<br class="">

--<br class="">

<br class="">

Matthieu Nantern<br class="">

SRE, Margo Bank<br class="">

+33683148506<br class="">

<br class="">

<br class="">

--<br class="">

<br class="">

Matthieu Nantern<br class="">

SRE, Margo Bank<br class="">

+33683148506</div>

</span></font></div>

</blockquote>

</div>

<br clear="all" class="">

<br class="">

--<span class="Apple-converted-space"> </span><br class="">

<div dir="ltr" class="m_5834563087877639267gmail_signature" data-smartmail="gmail_signature">

<div dir="ltr" class="">

<div class="">

<div dir="ltr" class="">

<pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: "Courier New";" class="">Matthieu Nantern

SRE, Margo Bank

+33683148506</pre>

</div>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<br clear="all" class="">

<br class="">

--<span class="Apple-converted-space"> </span><br class="">

<div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">

<div dir="ltr" class="">

<div class="">

<div dir="ltr" class="">

<pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: "Courier New";" class="">Matthieu Nantern

SRE, Margo Bank

+33683148506</pre>

</div>

</div>

</div>

</div>

</div>

</div>

</blockquote>

</div>

<br class="">

</div>

</div>

</div>

</body>

</html>