Add uniqueids=never to ignore INITIAL_CONTACT notifies

With uniqueids=no the daemon still deletes any existing IKE_SA with the
same peer if an INITIAL_CONTACT notify is received.  With this new option
it also ignores these notifies.

Add random plugin options to strongswan.conf.5

Add strongswan.conf runtime options for /dev/[u]random files

Fixes #221.

this is the correct evaltest

recovered ikev2/ip-two-pools-mixed evaltest

adapted ip-pool evaltests

Use the proper types for comma separated attributes read from strongswan.conf

Attributes of different address families previously were mapped to
the same attribute type (the one derived from the address family of the
first address).

Print the name of mem pools instead of the confusing <base>/<size>

Properly remove broadcast address from mem pools

use base IMC ID if src IMC ID is not supported

added libimcv.assessment_result to strongswan.conf man page

make sending of IETF Assessment Result attributes configurable

introduced sending of standard IETF Assessment Result PA-TNC attribute by IMVs

Only initiate an exchange from send_dpd() if a task was actually queued

Otherwise, the initiator would prematurely initiate Quick Mode if it has
DPD enabled and XAuth is used.

android: New release after adding certificate authentication and reauth fix

Trigger ike_updown event caused by retransmits only after reestablish() has been called

This allows listeners to migrate to the new IKE_SA with the
ike_reestablish event without having to worry about an ike_updown event
for the old IKE_SA.

android: Properly handle reauthentication initiated by the client

android: Create a new VpnService.Builder after VPN has been established

Add ike_reestablish() event that is triggered when an IKE_SA is reestablished

This is particularly useful during reauthentication to get the new
IKE_SA.

Add a new condition to mark IKE_SAs that are currently being reauthenticated

starter: Load config again when restarting charon

This got lost in 041e763b.

Clear virtual IPs before storing assigned ones on the IKE_SA

Otherwise we'll end up with duplicate or invalid VIPs stored on the
IKE_SA.

In mode_config, destroy temporary pool list instead of the virtual IP list twice

Merge branch 'android-client-cert'

Introduces IKEv2 client certificate authentication for the Android App.

android: Native parts handle ikev2-cert VPN type

android: android_creds_t can provide a user's private key and certificate

android: Added JNI method to retrieve user certificate and private key

To simplify things the private key, the user certificate and the CA
certificates are all put into the same list.

android: Don't show the password dialog if not required

android: Enable pkcs8 plugin

android: Pass the type of VPN to the native parts

android: Make sure NULL jstrings are converted properly

android: Display the selected certificate alias in the profile list

android: Allow configuration of a user certificate

android: Remove NOT NULL constraint from username column

android: Separate view added to select certificates

android: Don't try to load the profile with ID 0

android: Spinner added to select the VPN type

Merge branch 'multi-vip'

Brings support for multiple virtual IPs and multiple pools in
left/rigthsourceip definitions. Also introduces the new left/rightdns
options to configure requested DNS server address family and respond
with multiple connection specific servers.

Merge branch 'eap-client-select'

This brings support for EAP-Nak payloads on the client (to select a
specific or supported method), and the server (via the eap-dynamic
plugin which selects a method supported/requested by the client).

NEWS about eap-dynamic plugin added

Documentation for eap-dynamic added

Log the proper type for virtual EAP methods

Added an option to prefer types sent by peer in eap-dynamic plugin

eap-dynamic plugin handles EAP-Nak messages and selects a method supported by the peer

Preferred EAP methods for eap-dynamic can be configured

The eap-dynamic plugin uses the first supported method as default

Added eap-dynamic plugin which can proxy any other EAP method

Use eap_vendor_type_from_string() in stroke

Function added that parses EAP method strings ([eap-]type[-vendor])

Added method to enumerate EAP types contained in an EAP-Nak

Encode EAP-Naks in expanded format if we got an expanded type request

Since methods defined by the IETF (vendor ID 0) could also be encoded in
expanded type format the previous check was insufficient.

Allow clients to request a configured EAP method via EAP-Nak

Virtual EAP methods handle EAP-Naks themselves

Send EAP-Nak with supported types if requested type is unsupported

Filter invalid EAP authentication types when enumerating them

Valid authentication types defined by the IETF are 4-253 and 255.

Move our pseudo EAP types out of the range of valid EAP methods

version bump to 5.0.1dr4

Added multiple left/rightsourceip NEWS

Added NEWS for left/rightdns options

Updated ipsec.conf.5 with multiple left/rightsourceip support

Added a note to _updown for the new PLUTO_MY_SOURCEIP* variables

Be less verbose if IP allocation for a single pool fails

DHCP plugin returns virtual IPs for IPv4 requests only

Check address family in HA virtual IP backend

Strictly enforce address family match while acquiring mem_pool IPs

Don't parse comma separated pool names in attr-sql

We now handle multiple pools at a deeper level, making that special
handling obsolete. Comma separated pools are parsed in stroke.

Handle comma separated pools as multiple pool names in SQL plugin

Request and acquire multiple virtual IPs in IKEv1 Mode Config

Request and acquire multiple virtual IPs in IKEv2 configuration payload

Pass all configured pool names to attribute provider enumerator

Pass a list instead of a single virtual IP to attribute enumerators

Support multiple addresses/pools in left/rightsourceip

Support multiple address pools configured on a peer_cfg

Support multiple virtual IPs on peer_cfg and ike_sa classes

Ported tun_device de-/initialization to FreeBSD

struct iphdr is Linux specific use struct ip instead

Include stdint.h for UINT32_MAX on FreeBSD

Ported tun_device initialization to OS X utun

android: Field added to store the type of a VPN profile

android: Enum added for VPN types

android: Simplified handling of error dialog that is displayed if VpnService API is not supported

android: LoginDialog refactored so it also works when the device is rotated

android: Added a field to store selected user certificate

Ewa did the new Polish translation

Log configured IKE_SA proposals as initiator

Log configured CHILD_SA proposals as initiator

Fall back to local address as IKEv1 identity if nothing else is configured

Removed deprecated options from ipsec.conf template

Apply send delay before adding non-ESP marker

Otherwise the packet header could not be parsed correctly when NAT-T is
used.

Add a getter for the mem_pool_t base address

use pen_type_t for PA Message Subtype

Added a method to enumerate registered EAP methods

Remove unused ipsec.conf left/rightnatip keyword

Add description about DNS server variables to _updown

Add a DNS attribute handler to updown, passing servers to updown script

Add a description of the leftdns option to ipsec.conf.5

Add a stroke attribute_handler requesting DNS servers given with leftdns

Serve ipsec.conf rightdns servers through stroke attribute provider

Add a left/rightdns keyword to configure connection specific DNS attributes

Remove unused src/dst variables in send_no_marker()