additional NEWS for 4.2.6

 * guest#running?
 * guest?, iface? (also Guest.include? resp. guest.include?)
 * easy accessors for guests and ifaces (Guest.sun instead of Guest["sun"] and guest.eth0 instead of guest["eth0"])
 * if a block is given for iface#add or iface#del then the change is only temporary while executing the block and gets reverted afterwards

my changes for the 4.2.6 release

added ikev2/rw-eap-aka-identity scenario

cosmetics

ipsec statusall lists eap_type and eap_identity

enable-eap-identity in UML scenarios

using strongSwan, not NetworkManager version number

fixing charon path for now for ubuntu package

added ikev2/multi-level-ca-cr-init and ikev2/multi-level-ca-cr-resp scenarios

completed support of AUTHZ_CA_CERT and AUTHZ_CA_CERT_NAME attributes

adapted sql/rw-eap-aka-rsa scenario to new EAP identity type

list CA restrictions in ipsec statusall

added NM gnome plugin to distribution

removed generated Makefile.in.in from svn

enforce DN of configured gateway certificate

new EAP-Identity handling uses ID_EAP in plugins

disabled PSK option until we have a way to enforce strong secrets

use username part of RFC822 IDs for PAM authentication

ported parts of two-sim branch
eap_identity parameter to exchange in eap_identity
some auth_info/peer_cfg refactorings
fixed some bugs, introduced new ones

run guests with some niceness

pool names are unique

do not return IPv6 src addresses for IPv4 destinations

fixed EAP-GTC secret lookup
improved error logging
PAM authentication needs CAP_AUDIT_WRITE capability

a (incomplete) implementation of draft-sheffer-ikev2-gtc-00.txt using PAM

corrected caption

charon.process_route = no does not process RTM_NEWROUTE and RTM_DELROUTE events. Useful for taking down hundreds of virtual IPs on the same host

added sqlite busy handler: retries on locking conflicts

avoid too many alloca()s in netlink send, problematic on MIPS

some string fixes

added missing tooltip

handle DBUS permission problems gracefully

fixed shared key lookup by ID
proper auth method selection

fixed auth-dialog password flush

set version back to 4.2.6

fixed libstrongswan integrity test

certificate based gateway authentication
prototype PSK user authentication with auth-dialog

updated nm plugin to NetworkManager API changes

roam jobs for routing table changes not fired for virtual IP routes

do not fire a roam job when virtual IP is deleted

temporary workaround to prevent roam jobs due to virtual IP installations

corrected typo

 * ruby extension extracted from irdumm
 * guests do not shutdown anymore on SIGINT in irb

added ipv6/net2net-ip6-in-ip6-ikev2 scenario

add additional scenario diagrams

added missing cleanup on failure

initiator sends contents of rightca= if present as a certificate request without searching for further CA certificates

fixed improper TAILQ fix which caused pluto to segfault

corrected caption

Redhat/Fedora requires var/lock/subsys/ipsec for runlevel changes

ipsec starter gives the charon daemon 8s to terminate gracefully before killing the process brutally

fixed the close_peerlog() bug causing ipsec pluto --help to segfault

configuration plugin for NetworkManager

added options for virtual IP, UDP encapsulation, IPComp
proper handling of libstrongswan/glib TRUE/FALSE conflict

exec on a guest now returns the return value of the executed process

reimplemented dbus plugin for NetworkManager 0.7, renamed to nm

recreating FIFO if it exists

fixed usage typo

increased stroke socket backlog to 10

using a entry cache for duplicate checks, avoids deadlocks

use condvar broadcasts to signal threads waiting for an IP, there might be more than one

the list of addresses on the interface of a guest is not cached anymore, but queried directly from the interface

* Guest#exec uses the new exec_str function
* tab completion in irdumm enabled

added an extended exec function to guests that allows to get the output of the command as string or by line.

using shared read locks in credential set enumerators to avoid deadlocks

added strongswan.conf option "charon.dos_protection" to disable cookies/aggressiveness check

added keyid2sql helper script

starter now waits for a maximum of 10s instead of 1s for charon before restarting the daemon

demoted IKE state change output to debug level 2

ignore AUTH_LIFETIME value if reauthentication has already been scheduled earlier

switched xterm console title

using gnome-terminal in irdumm

version bump to 4.2.6

use XFRM_MSG_UPDPOLICY for existing policies only

updated UML INSTALL information

adapted UML scenarios to improved virtual IP address pool

SQLite database template with improved address pool management

added changes for the 4.2.5 release

added tests.h to distribution

fixed UCI thread cancellation on ARM

added option charon.plugins.sql.lease_history to disable lease history logging

fixed statistic calcuation for static leases

completed IKE_SA logging at the AUDIT level

fixed pool statistics

IKE_SA rekeying inherits other_host from old IKE_SA

cosmetics

start default strongSwan UML topology

some more changes to IKE_SA and CHILD_SA logging

experimental and untested reimplementation of sql based IP pool
uses address preallocation and separate address/lease tables for linear lookup time

cosmetics

ipsec status lists IPCOMP CPIs

own CPI was not deleted due to copy-and-paste error

consistent logging of SPIs and CPIs

missing FETCH_END caused SEGFAULT in ikev2/rw-hash-and-url scenario

display protoport in dynamic/32 traffic selectors

fixed bus args copy on non i386 archs

consistent logging of IKE and CHILD SAs

pool performance testing

loading unit-tester plugin as the last one

reverted bus to non-recursive mutex due instability