Added multiple left/rightsourceip NEWS

Added NEWS for left/rightdns options

Updated ipsec.conf.5 with multiple left/rightsourceip support

Added a note to _updown for the new PLUTO_MY_SOURCEIP* variables

Be less verbose if IP allocation for a single pool fails

DHCP plugin returns virtual IPs for IPv4 requests only

Check address family in HA virtual IP backend

Strictly enforce address family match while acquiring mem_pool IPs

Don't parse comma separated pool names in attr-sql

We now handle multiple pools at a deeper level, making that special
handling obsolete. Comma separated pools are parsed in stroke.

Handle comma separated pools as multiple pool names in SQL plugin

Request and acquire multiple virtual IPs in IKEv1 Mode Config

Request and acquire multiple virtual IPs in IKEv2 configuration payload

Pass all configured pool names to attribute provider enumerator

Pass a list instead of a single virtual IP to attribute enumerators

Support multiple addresses/pools in left/rightsourceip

Support multiple address pools configured on a peer_cfg

Support multiple virtual IPs on peer_cfg and ike_sa classes

Add a getter for the mem_pool_t base address

Remove unused ipsec.conf left/rightnatip keyword

Add description about DNS server variables to _updown

Add a DNS attribute handler to updown, passing servers to updown script

Add a description of the leftdns option to ipsec.conf.5

Add a stroke attribute_handler requesting DNS servers given with leftdns

Serve ipsec.conf rightdns servers through stroke attribute provider

Add a left/rightdns keyword to configure connection specific DNS attributes

Remove unused src/dst variables in send_no_marker()

use pen_type_t for attribute request entries

define pen_type_t as a vendor-specific type

Don't use POSIX semaphores if a MONOTONIC clock is available

POSIX semaphores use CLOCK_REALTIME, but our semaphore_t abstraction
expects CLOCK_MONOTONIC based times. Use the mutex/condvar based
fallback if time_monotonic() actuall returns monotonic times.

Remove the unused second IKE_SA entry match function argument

LLVMs clang complains about this parameter, so remove it.

Add a mutex/condvar based semaphore implementation if sem_timedwait is unavailable

Fixes #214.

added IBM and OpenPTS Private Enterprise Numbers

Add keymat_t constructor registration function

Using the register_constructor function enables custom keymat_t
implementations per IKE version. If no constructor is registered the
default behavior is preserved.

fixed caption

implemented IETF Attribute Request attribute

version bump to 5.0.1dr3

openssl: Fix registration of the PUBKEY builder

libtls drops support for RSA suites if it does not find an RSA backend
(final builder for RSA public keys).

Without the ties to PAM we can build eap-gtc on Android

CAP_AUDIT_WRITE is now required by xauth-pam not eap-gtc plugin

Removed manual EAP method registration in eap-gtc plugin

Enable build of eap-tls, eap-ttls and eap-peap on Android

Add a wrapper around vstr_add_fmt() to avoid having to link libcharon against libvstr

At least on Android the latter would be required.

starter: Restore original config in case also= is used (which reads the same values)

Increased log level when listing interfaces and IP addresses during startup

This avoids confusing log messages in starter and ipsec statusall
already lists the available addresses anyway.

Only load kernel plugins in starter when flushing SAD/SPD entries

This avoids keeping the kernel sockets open when they are not actually
needed, which could lead to resource problems (in particular with PF_KEY
where all open sockets receive all messages).

Fixes #217.

Enable UDP decapsulation for both address families

Since the 3.5 Linux kernel both UDP implementations have a separate static
flag to indicate whether ANY sockets enabled UDP decapsulation.
As we only ever enabled it for one address family (in earlier versions IPv4
only, now for IPv6, if supported, and for IPv4 otherwise) UDP decapsulation
wouldn't work anymore (at least for one address family).

Correctly transmit EAP-MSCHAPv2 user name if it contains a domain part

fall through to evidence measurements if no file measurements must be done

upgraded to Ubuntu 12.04.1 LTS

added deletion of product/file entries to usage

New Android release after adding error dialog

Skipped one version due to a rebasing mishap.

Show an error message if VPN is not supported

Some devices have Android 4 installed but the system images still seem to
lack the components that are required for VPN support. One such
component is the dialog used to grant permission to create .

Enable search for certificate lists (via SearchView in ActionBar)

Added new UI to select a specific CA certificate

With this change there is no need to wait for all certificates being loaded
anymore (this happens only when the user opens the selection activity).

Don't try to save profile ID if there is none

List fragment for trusted certificates can notify listeners about clicks

Added an activity that shows lists of CA certificates in two tabs

Added a ListFragment that lists trusted certificates (loaded via a custom Loader)

Changed TrustedCertificateAdapter for use with ListViews and TrustedCertificateEntry

Remove certificate spinner from edit view

Function to get only system-wide CA certificates added to TrustedCertificateManager

Added class to store trusted certificate entries for lists

fixed Makefile for libstrongswan dev headers

version bump to 5.0.1dr2

skip boot aggregate check against database

Validate netmask in mem_pool_create

Validate netmask in traffic_selector_create_from_subnet

Fixes #216.

Comment fixed

Merge branch 'android-app'

This branch introduces a userland IPsec implementation (libipsec) and an
Android App which targets the VpnService API that is provided by Android 4+.

The implementation is based on the bachelor thesis 'Userland IPsec for
Android 4' by Giuliano Grassi and Ralf Sager.

Ensure thread IDs always start with 1 even if the library is reused

Within the Android App the library stays loaded in memory and is just
initialized/deinitialized with each connection, the static thread
counter would continuously increase without this patch.

Added a button to the error dialog that allows to view the log file

Use major.minor.revision version numbers for Android application

Only allow access to log file via explicitly created URIs

Since ContentProviders are public and permissions don't seem to work any
other application could access the log file.  With this token system
only URIs we explicitly created can be accessed.

Menu option added that allows users to send the log file

Add ContentProvider to access log file from other applications

Watch for changes to the log file so we can reopen it

If the log fragment is shown while the daemon starts (which is not the
case at the moment, but maybe later on tablets) the file reader would not
notice that the file got truncated.  The same applies if the file is deleted
directly on the file system e.g. with adb shell.

Add an Activity that shows the log fragment

Add a fragment that can display charon's log file

It continuously reads from the log file in a separate thread while displayed.

Added special ScrollView with auto-scrolling feature

The ability to auto-scroll is disabled as soon as the user manually
scrolls around and re-enable when the user scrolls to the bottom.

Charon logs to a file in the App's data directory

Moved Java to C string conversion function to android_jni header file

Log charon version and uname() output, split libcharon and charon initialization

Only call disconnect() from CharonVpnService if we are not already disconnecting

Load single certificates directly from the KeyStore if we cannot get the read lock

This helps when running in the emulator as loading the certificates
takes quite a while there.  This way a configured CA certificates is loaded
directly without having to wait for all certificates being cached.

Use colors from the Android color palette for the VPN status texts

Localized title for contextual action bar

German translation added

Show MainActiviy if the user clicks 'Configure' in Android's VPN dialog

Keep reporting the error until the user dismisses it

Even when the Activity is closed and later reopened.

Show an error dialog when errors occur while establishing the VPN

Show a button to disconnect the VPN once it is established

Show current VPN state and profile name

Show modal dialogs while connecting and disconnecting the VPN.

Add a fragment to MainActivity which will display the current VPN state

The fragment is bound to the VpnStateService and registered as listener.

Use a separate (volatile) variable for certificate alias

If a connection is started while certificates are still loading and the
initiation is then canceled a deadlock could result if the daemon is
trying to enumerate the certificates just then.

Don't set the source address on Android

Close IKE_SA on Android immediately if setting up CHILD_SA fails

Reduce number of retransmits on Android

Job added which handles plain text packets read from TUN device

Added a handler that writes inbound plain text packets to the TUN device

Add simple callbacks to receive/send ESP packets via libipsec/receiver.