<div dir="ltr">I am picking this project up now that I can use split tunneling, but I am running into another issue. I am trying to exclude the MS/Azure Authenticator app from using the VPN. Without it excluded, I get the push notification, but there is no place to approve the MFA request. With it excluded, everything works fine. The issue I am having is I can manually pick the app and exclude it, but if I make it part of a profile to import, it doesn't work. This is my syntax:<div><br></div><div><br></div><div>{<br>    "uuid": "7129d5ec-fac8-4665-9856-6cfa81d01398",<br>    "name": blah",<br>    "type": "ikev2-eap",<br>    "remote": {<br>        "addr": "<a href="http://vpn.blah.com">vpn.blah.com</a>",<br>        "cert": "blah-root-ca",<br>        "certreq": "false"<br>     },<br>    "split-tunneling": {<br>       "subnets": "<a href="http://10.0.0.0/8">10.0.0.0/8</a> <a href="http://172.16.0.0/12">172.16.0.0/12</a>"<br>    },<br>    "excluded-apps": "com.azure.authenticator"<br>}<br></div><div><br></div><div>Is there a way to export a working profile? That would be awesome.</div><div><br></div><div>Thanks,</div><div>Chris.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jan 24, 2019 at 3:12 AM Tobias Brunner <<a href="mailto:tobias@strongswan.org">tobias@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Chris,<br>
<br>
>> So my question to you is why is the route being injected BEFORE the<br>
>> tunnel is fully authenticated?<br>
> <br>
> It isn't.  However, that MFA you use isn't integrated into the IKE<br>
> authentication.  So for the IKE client (and server) the IKE_SA is<br>
> established successfully.  I guess if the MFA fails or times out the<br>
> server would just terminate the previously established SA.<br>
<br>
Actually, from what I read, this is implemented via RADIUS.  So it is<br>
integrated into the IKE authentication.  The route you are referring to<br>
is probably the one we install to avoid traffic leaks while the VPN is<br>
established (this happens even before the first message is sent).<br>
However, if you exclude the MFA app it should be excluded from that<br>
initial route as well.  Make sure you don't have Android's system-wide<br>
traffic block enabled, though.  As that block all traffic if no VPN is<br>
established (i.e. there is no split-tunneling).<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div>