Move rw-eap-dynamic scenario to its proper location

In mem_pool, check for an existing ID entry before creating a new one

Merge branch 'unity'

Add Cisco Unity extension support implemented in a dedicated plugin.

Add a simple test case for the unity plugin, featuring both includes and excludes

Build unity plugin in strongSwan test suite

Add unity plugin NEWS

Update ipsec.conf.5, leftsubnet can handle multiple subnets in IKEv1 with Unity

As Unity responder, don't change the proposed TS at all, racoon doesn't like that

Don't complain about multiple TS in IKEv1, as it supported with Unity

As initiator, narrow received Unity attributes to configured TS

When using Unity, bump up remote TS as initiator to 0.0.0.0/0, too

Enable Cisco Unity only if Unity vendor id received

Exchange 0.0.0.0/0 traffic selectors with Unity, narrowing after exchange

Add a Unity attribute provider that adds Split-Includes for TS

Check if subset calculation actually yields a TS in Unity narrowing

Request Unity configuration attributes for IKEv1 only

Add Cisco Unity client support for Split-Include and Local-LAN

Add a road-warrior test case requesting both an IPv4 and an IPv6 virtual address

Derive a dynamic TS to multiple virtual IPs

Use the vararg list constructor in quick mode task

Add a linked list constructor taking items from a vararg list

Make stroke user-creds work with XAuth configs

Fix Doxygen comment for proposal_keywords_t

Two dots seem to mark the end of a list.

New Android release after fixing IDr problems

Use random ports in NetworkManager backend

Fix equality comparison of auth_cfg_t

We previously only confirmed that rules contained in the first config are also
contained in the second, but since the number of rules does not have to
be equal, it might be that the second config contains rules that the
first one doesn't.

Set AUTH_RULE_IDENTITY_LOOSE for rightid=%<identity>

Use AUTH_RULE_IDENTITY_LOOSE in NetworkManager backend

android: Use AUTH_RULE_IDENTITY_LOOSE

Add AUTH_RULE_IDENTITY_LOOSE which allows to use IDr loosely as initiator

If it is set on an auth config IDr will not be sent, and later the configured
identity will not only be checked against the returned IDr, but also
against other identities contained in the responder's certificate.

New Android release after fixing Unicode conversion bug

android: Fix conversion of actual Unicode strings (i.e. bytes!=chars)

Removed the unneeded socket-raw plugin

Change traffic selectors during Quick Mode in case of a NAT in transport mode

Windows 7 sends its internal address as TSi.  While we don't support the
NAT-T drafts as used by Windows XP it is interesting to note that the
client there omits the TSi payload which then would automatically get set
to the public IP address of the client.

Fixes #220.

Merge branch 'custom-crypto'

This provides plugins with an interface to register keywords for
proposals (e.g. when parsing the esp and ike options from ipsec.conf)
and the possibility to register identifiers for kernel algorithms.

It is based on patches contributed by Nanoteq Pty Ltd.

Added algorithm lookup via kernel_interface_t to the various kernel interfaces

Added possibility to register custom kernel algorithms to kernel interface

Added possibility to register custom proposal keywords

Keyword lookup and registration are handled via the new lib->proposal object.

Removed len argument from proposal_get_token()

Also use enumerators instead of lexparser.h to parse proposal strings.

Make arguments for enumerator_create_token|directory const

Moved proposal_keywords to proposal_keywords_static

Added new proposal keywords with function to reference the static keywords.

Option added to enforce a configured destination address for DHCP packets

version bump to 5.0.1rc1

Allow calls to set_address() for any host-sized TS, not only dynamic ones

This fixes CHILD_SA updates (e.g. due to MOBIKE), which were broken
since 4cb0783.

Ensure traffic selectors are dynamic before calling set_address() when deriving them

Consistently log XFRM mark masks with 0 prefix in kernel-netlink plugin

starter: Added --nolog option to suppress logging in starter itself

Fixes #224.

Updates to strongswan.conf(5) man page (added several missing options)

Some updates to ipsec.conf(5) man page

starter: Allow %any also for protocol in left|rightprotoport

Don't allow NULL encryption with PEAP

Use memmove on overlapping regions, and operate with correct sizeof()

Whitespace cleanups in tls_eap

Use uintptr_t in mem pool to avoid compiler warning if sizeof(void*) != sizeof(int)

ikev1 hybrid authentication does not need client certificates

corrected topology in ikev2/rw-radius-accounting scenario

added ikev2/rw-eap-dynamic scenario

Always send a configuration payload in IKEv1 TRANSACTIONs, even if it is empty

Don't use host address for dynamic TS in IKEv1 if a virtual IP was expected

Don't use host address for dynamic TS in IKEv2 if a virtual IP was expected

Don't return a subset for a dynamic TS unless set_address has been called

Send FAILED_CP_REQUIRED if a configuration payload was expected, but not received

Check for an existing lease in all stroke pools before creating a new one

Pass full pool list to release_address

Pass the full list of pools to acquire_address, enumerate in providers

If the provider has access to the full pool list, it can enumerate
them twice, for example to search for existing leases first, and
only search for new leases in a second step.

Fixes lease enumeration in attr-sql using multiple pools.

Add a linked list constructor initializing from an enumerator

Add a responder narrow() hook to change TS in the kernel, but not on the wire

Support RADIUS accounting when using IKEv1 with xauth-eap and eap-radius

Fix leak while enumerating RADIUS Framed-IPs from IKE_SA

Add uniqueids=never to ignore INITIAL_CONTACT notifies

With uniqueids=no the daemon still deletes any existing IKE_SA with the
same peer if an INITIAL_CONTACT notify is received.  With this new option
it also ignores these notifies.

Add random plugin options to strongswan.conf.5

Add strongswan.conf runtime options for /dev/[u]random files

Fixes #221.

this is the correct evaltest

recovered ikev2/ip-two-pools-mixed evaltest

adapted ip-pool evaltests

Use the proper types for comma separated attributes read from strongswan.conf

Attributes of different address families previously were mapped to
the same attribute type (the one derived from the address family of the
first address).

Print the name of mem pools instead of the confusing <base>/<size>

Properly remove broadcast address from mem pools

use base IMC ID if src IMC ID is not supported

added libimcv.assessment_result to strongswan.conf man page

make sending of IETF Assessment Result attributes configurable

introduced sending of standard IETF Assessment Result PA-TNC attribute by IMVs

Only initiate an exchange from send_dpd() if a task was actually queued

Otherwise, the initiator would prematurely initiate Quick Mode if it has
DPD enabled and XAuth is used.

android: New release after adding certificate authentication and reauth fix

Trigger ike_updown event caused by retransmits only after reestablish() has been called

This allows listeners to migrate to the new IKE_SA with the
ike_reestablish event without having to worry about an ike_updown event
for the old IKE_SA.

android: Properly handle reauthentication initiated by the client

android: Create a new VpnService.Builder after VPN has been established

Add ike_reestablish() event that is triggered when an IKE_SA is reestablished

This is particularly useful during reauthentication to get the new
IKE_SA.

Add a new condition to mark IKE_SAs that are currently being reauthenticated

starter: Load config again when restarting charon

This got lost in 041e763b.

Clear virtual IPs before storing assigned ones on the IKE_SA

Otherwise we'll end up with duplicate or invalid VIPs stored on the
IKE_SA.

In mode_config, destroy temporary pool list instead of the virtual IP list twice

Merge branch 'android-client-cert'

Introduces IKEv2 client certificate authentication for the Android App.

android: Native parts handle ikev2-cert VPN type

android: android_creds_t can provide a user's private key and certificate

android: Added JNI method to retrieve user certificate and private key

To simplify things the private key, the user certificate and the CA
certificates are all put into the same list.

android: Don't show the password dialog if not required

android: Enable pkcs8 plugin

android: Pass the type of VPN to the native parts

android: Make sure NULL jstrings are converted properly