Merge branch 'conn-specific-replay'

Introduces a connection specific replay_window option, overriding the global
charon.replay_window strongswan.conf option. Original patch courtesy of
Zheng Zhong and Christophe Gouault from 6Wind.

NEWS: Mention replay_window ipsec.conf option

swanctl: Document replay_window option

vici: Support a replay_window CHILD_SA option

starter: Add a replay_window connection option

kernel-pfkey: Support connection specific replay window sizes up to 32 packets

kernel-netlink: Support connection specific replay window sizes

kernel-interface: Add a replay_window parameter to add_sa()

child-cfg: Store connection specific replay window on CHILD_SA config

Merge branch 'win-errno'

Improves errno handling for Winsock2 compatibility functions.

windows: Declare strerror_s()

Older MinGW versions seem to miss this function declaration. Fixes build on
Travis using Ubuntu 12.04.

windows: Extend strerror_r/s by extended POSIX errno strings

windows: Implement strerror_r using strerror_s

windows: Wrap most Winsock2 Posix functions to set errno

While Winsock provides many Posix compatibility functions, they do not set
errno, but use WSAGetLastError() for error reporting. The wrapped functions
derive an errno from WSAGetLastError() on failure.

watcher: Prevent race condition spawning multiple watcher threads

If file descriptors get added and removed in rapid succession, the active
watcher thread might not take notice of it and continues running. However, add()
spawns a watcher thread whenever a file descriptor is added to an empty set.
This could result in multiple watcher threads, which is fixed by a proper
check for running watchers.

thread-value: Defer cleanup handling to thread termination on Windows

Instead of cleaning up all thread-values during destruction, cleanup handler
is invoked when a thread detaches. Thread detaching is cough using the Windows
DllMain() entry point, and allows us to basically revert 204098a7.

Using this mechanism, we make sure that the cleanup handler is invoked by the
the correct thread. Further, this mechanism works for externally-spawned
threads which run outside of our thread_cb() routine, and works more efficiently
with short-running threads.

socket-win: Use non-overlapped I/O and socket event selection

The use of overlapped I/O was incorrect, as we passed stack based buffers, but
did not cancel/wait for pending completion on all sockets. Our receive-from-all
socket interface is actually tricky to implement using overlapped I/O. Switch
to WSAEventSelect() event management, which can be canceled properly while
working in a select()-like way.

Merge branch 'attr-enum'

Introduces a handle_vips() hook very similar to assign_vips(), but for clients
handling virtual IPs and other configuration attributes. Non-handled attributes
are stored on the IKE_SA as well and can be enumerated.

bus: Add a handle_vips() hook invoked after handling configuration attributes

Similar to assign_vips() used by a peer assigning virtual IPs to the other peer,
the handle_vips() hook gets invoked on a peers after receiving attributes. On
release of the same attributes the hook gets invoked again.

This is useful to inspect handled attributes, as the ike_updown() hook is
invoked after authentication, when attributes have not been handled yet.

ikev1: Invoke the assign_vips() bus hook for IKEv1 as well

ike: Create an enumerator for (un-)handled configuration attributes on IKE_SA

ike: Store unhandled attributes on IKE_SA as well

Version bump to 5.2.0rc1

Mentioned first six swanctl scenarios in NEWS

Added swanctl/rw-psk-fqdn and swanctl/rw-psk-ipv4 scenarios

Single-line --raw mode simplifies evaltest of swanctl scenarios

Split swanctl --raw mode into single-line and --pretty mode

Added swanctl/ip-pool-db scenario

Updated strongTNC configuration

Added swanctl/ip-pool scenario

Allow multiple hash values in the file reference database

Added swanctl/rw-cert scenario

Added Android 4.3 and 4.4.3 to imv database

Define default swanctl credentials in hosts directory

Added missing units (s = seconds)

Fixes in SWID entity support

Merge branch 'win-32bit'

Fixes some issues when building 32-bit Windows binaries. Mostly related
to the call API. Introduces a Travis 32-bit Windows build variant.

travis: Add a Windows 32-bit variant build test

windows: Link against psapi32

On some version GetModuleFileNameEx/GetModuleInformation is in psapi32 instead
of kernel32. We link to both libraries to make sure we have it.

backtrace: Use GetModuleInformation/GetModuleFileNameEx directly on Win32

The K32 variants are actually needed on 64-bit only.

windows: Use WINAPI call convention for Windows API callbacks

For x86_64 it does not actually matter, but for i686 builds the call convention
is different with WINAPI.

windows: Do not check if having clock_gettime()

Windows does not have it, but libwinpthread has. If this library is available
during build, it will be linked, which we prefer to avoid.

Version bump to 5.2.0dr6

Ubuntu 14.04 updated to 3.13.0-29 kernel

Extended pt-tls-client PLUGINS list

Updated REST API

android: Add all Android.mk files to the tarball

Fixed typo in strongswan.conf

NEWS: Introduce Windows support

Merge branch 'win-fetcher'

Implements a HTTP/HTTPS fetcher for the Windows platform using the native
WinHTTP API.

travis: Build "all" tests without Windows HTTP fetcher

We don't include it in the Windows build test either, as MinGW does not come
with -lwinhttp.

pki: Support complex trustchain and revocation checking in --verify

unit-tests: Zero-initialize chunk to avoid free on non-successful fetch

If the fetch fails, the fetcher is not required to return an empty chunk. Avoid
the resulting invalid free() by initializing data.ptr to NULL.

winhttp: Support basic authentication for URLs having credentials

winhttp: Support new response code fetcher option

winhttp: Implement a http(s) fetcher based on Microsofts WinHTTP API

Merge branch 'win-kernel'

Adds the kernel-iph and kernel-wfp kernel backends for the Windows platform.
kernel-iph provides a networking backend using the IP Helper native Windows
API, while the kernel-wfp backend implements an interface to the Windows Kernel
IPsec layer using the Windows Filtering Platform API.

travis: Build "all" tests without Windows kernel backends

kernel-wfp: Include Windows header patch for MinGW 4.8.1

kernel-wfp: Clone acquire traffic selectors only if they exist

kernel-wfp: Install routes for trap policies

kernel-wfp: Refactor route management to separate function

kernel-wfp: Install tunnel mode policies to appropriate sub-layers

While it is unclear if this has any effect at all, we prefer specific sublayers
to install policies as suggested.

kernel-wfp: Declare GUIDs and auth/cipher configs missing in some MinGW builds

kernel-wfp: Support multiple traffic selectors on tunnel mode SAs

child-sa: Pass the number of total policies tied to an SA to the kernel

This will be useful if the kernel backend has to know how many policies
follow an SA install, for example if it must install all policies concurrently.

kernel-iph: Implicitly enable IP forwarding when installing routes

kernel-wfp: Show a warning for packets the kernel drops in its IPsec layers

kernel-wfp: Set flag to get UDP encapsulation with tunnel mode working

Having this flag set fixes connections initiated by the Windows host, but
unfortunately does not yet fix incoming connections. Connection state issue?
We still see 0xc00000e2 error events, translating to INTERNAL_ERROR.

kernel-wfp: Install tunnel and trap forward policies

kernel-wfp: Manually create a ProviderContext to attach individual filters

This gives us more flexibility than using the intransparent FwpmIPsecTunnelAdd,
and fixes the issues we have seen with trap policies. Forward filters are
still missing, but required for site-to-site tunnels.

kernel-wfp: Print filter weight in "ipsecdump filters"

kernel-wfp: Add support for trap policies and acquires

socket-win: Install IKE bypass policies using bypass_socket()

kernel-wfp: Implement bypass_socket() using dedicated filter rules

kernel-wfp: Register for WFP Net events

kernel-wfp: Add some missing IPv6 GUIDs, fix IPv6 host conversion

kernel-wfp: Add an ipsecdump "filters" command to print IPsec related filters

kernel-wfp: Add an ipsecdump utility to show installed SAs/SPs on Windows

kernel-wfp: Depend on used RNG plugin features

kernel-wfp: Implement update_sa()

kernel-wfp: Configure ports for SAs using UDP encapsulation

kernel-wfp: Refactor SA context construction, and use IPsecSaContextCreate1()

kernel-iph: Fire roam events for detected address changes

kernel-wfp: Allocate SPIs pseudo-randomly using a 0xc prefix

kernel-wfp: Install appropriate routes for tunnel mode policies

kernel-iph: Implement add/del_route()

kernel-iph: Implement get_nexthop()

kernel-iph: Implement get_source_addr()

kernel-iph: Implement address enumeration

kernel-iph: Implement get_interface() method

kernel-iph: Create and maintain a cache of interfaces and associated addresses

kernel-iph: Add a stub for a Windows IP Helper based networking backend

kernel-wfp: Disable IPsec policy updates

It seems that WFP requires an update of the SA context only, but not for the
filters. This allows us to omit support for (fallback) drop policies.

kernel-interface: Add a flag to indicate no policy updates required

kernel-wfp: Increment SPIs properly, that is while in host order

kernel-wfp: Triggering expire events for SAs to rekey/delete

kernel-wfp: Enforce hard lifetimes of SAs

kernel-wfp: Add some notes about query_sa/policy() support

kernel-wfp: Reference SA/SP sets by SPI and destination, not reqid

This allows us to have multiple CHILD_SAs for the same reqid, and brings
rekeying support.