<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr">Hello Tobias,<div><br></div><div>Thank you, for your help on this. I have managed to utilise eap-radius plugin to listen to disconnect messages from Freeradius.</div><div><br></div><div>I get strange reporting in the logs. It seems that StrongSwan rejects the initial disconnect message with a NAK. </div><div><br></div><div><div>(4) Sent Disconnect-Request Id 11 from <a href="http://0.0.0.0:42481">0.0.0.0:42481</a> to <a href="http://127.0.0.1:3799">127.0.0.1:3799</a> length 28</div><div>(4)   User-Name = "houman"</div><div>(4) Sent Accounting-Response Id 178 from <a href="http://127.0.0.1:1813">127.0.0.1:1813</a> to <a href="http://127.0.0.1:51530">127.0.0.1:51530</a> length 0</div><div>(4) Finished request</div><div>(4) Cleaning up request packet ID 178 with timestamp +6</div><div>Waking up in 2.1 seconds.</div><div>(4) Clearing existing &reply: attributes</div><div>(4) Received Disconnect-NAK Id 11 from <a href="http://127.0.0.1:3799">127.0.0.1:3799</a> to <a href="http://127.0.0.1:42481">127.0.0.1:42481</a> length 20</div></div><div><br></div><div>What attributes *should* be in the Disconnect-Request beside User-Name?  Is there anything else I need to avoid getting a NAK from StrongSwan?<br></div><div><br></div><div>Many Thanks,</div><div>Houman</div><div><br></div></div></div></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 10 Sep 2019 at 12:02, Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-style:solid;border-left-color:rgb(204,204,204);padding-left:1ex">Hi Houman,<br>
<br>
> Do you think that is possible to do via FreeRadius?<br>
<br>
See [1].<br>
<br>
> Just to be<br>
> clear there is always a 1:1 relationship between IKE_SA and a user at a<br>
> time, correct?<br>
<br>
Probably, that is, if you don't allow multiple IKE_SAs per user identity.<br>
<br>
> If I end an IKE_SA, I won't be kicking several users by<br>
> mistake?<br>
<br>
Not if you do so by unique ID (by name wouldn't be a good idea because<br>
all IKE_SAs by roadwarriors will share the name of the connection).<br>
<br>
> So in other words what<br>
> I'm trying to achieve is possible with Vici right?<br>
<br>
Yes.<br>
<br>
Regards,<br>
Tobias<br>
<br>
[1]<br>
<a href="https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius#Session-Timeout-and-Dynamic-Authorization-Extension" rel="noreferrer" target="_blank">https://wiki.strongswan.org/projects/strongswan/wiki/EapRadius#Session-Timeout-and-Dynamic-Authorization-Extension</a><br>
</blockquote></div>