Build generated man pages via configure script

resolve: Remove comment when using resolvconf(8)

Since comments in resolv.conf are only valid at the beginning of a line
resolvconf(8) seems to have started treating any text after
'nameserver <ip>' as additional IP addresses for name servers.

Since it ignores comments, and we can easily remove the added servers
again, there is no point to add any.

Fixes #410.

.gitignore: Add .dirstamp files touched by automake

libipsec: fix memory management when cloning ip_packet

libipsec: check for a policy with the reqid of the SA on decapsulation

To prevent a client from sending a packet with a source address of a different
client, we require a policy bound via reqid to the decapsulating SA.

stroke: don't remove a matching peer config if used by other child configs

When configurations get merged during add, we should not remove peer configs
if other connection entries use the same peer config.

conftest: Don't load plugins incrementally

This is not supported by the plugin loader, so we simply combine the
plugin lists and load them all at once.

ikev1: Fix double free when searching for redundant CHILD_SAs

Fixes #411.

Build all IMC/IMVs with -no-undefined

pt-tls-client: Report loaded plugins

pt-tls-client: Abort if no tnccs-manager is available

Build all shared libraries with -no-undefined and link them properly

The flag is required to convince libtool on Cygwin to build DLLs. But on
Windows these shared libraries can not have undefined symbols, so we have to
link them explicitly to the libraries they reference.

For plugins this is currently not done, so only the monolithic build is
supported.  The plugin loader wouldn't be able to load DLLs anyway, as
it tries to load files that don't exist on Cygwin.

configure: libtls and libtnccs etc. all require libstrongswan

tun_device: Add warning if TUN devices are not supported by platform

Make sure libstrongswan is initialized first in IMCs and IMVs

sockets: Initialize the whole ancillary data buffer not only the actual struct

This avoids uninitialized bytes that Valgrind seems to notice otherwise.

Fixes #395.

ikev1: For PFS prefer DH group from IKE_SA over first configured

If PFS is configured for a CHILD_SA first try to create a list of
proposals with using DH group negotiated during phase 1. If the
resulting list is empty (i.e. the DH group(s) configured for PFS differ
from the one(s) configured for the IKE_SA), fall back to the first
configured DH group from the CHILD_SA.
This modificiation is due to the fact that it is likely that the peer
supports the same DH group for PFS it did already for the IKE_SA.

kernel-netlink: increase buffer size for RT netlink messages

Commit 940e1b0f66dc04b0853414c1f4c45fa3f6e33bdd "Filter ignored
interfaces in kernel interfaces (for events, address enumeration,
etc.)" made charon to ignore routes with unusable interfaces.
Unusable interface is one where charon has not seen RTM_NEWLINK
message from the kernel.

Sometime RTM_NEWLINK message can be 1048 bytes large. This is
24 bytes more than currently allocated buffer of 1024 bytes.
If kernel sends such a large message, then it would be silently
ignored by charon and corresponding interface would never become
usable. Hence strongSwan might resolve invalid source IP address
in get_route() function. This would prevent IPsec tunnel to be
established.

To reproduce create a VLAN interface with following command:

vconfig add eth1 12

Fixed double free causing swapped ends to crash

Added ikev1/config-payload-push scenario

Minor performance tuning

Completed NEWS for 5.1.1dr3

Implemented targeted SWID request

Store object files in the same directory as the source files

Future automake releases will apparently do that implicitly, but current
releases spit out nasty warning messages.

Make SWID directory where tags are stored configurable

Added tags table and some tag samples

swid_inventory object has a get_count method

Count collected SWID tags or tag IDs

Proceed with attestation only if Attestation IMC returns a discovery response

libipsec: Properly initialize variables when creating AEAD wrapper

android: Fix compilation after PTS header files were moved

libpts: Android.mk updated

Version bump to 5.1.1dr3

NEWS: 5.1.1 update for merged branches

load-tester: support extended traffic selector syntax, as in leftsubnet

In addition the initiator may use %unique as port, using a distinct port for
each connection, starting from 1025.

load-tester: add an option to test transport/beet connections

Merge branch 'ike-address-ranges'

Adds support for multiple subnets and address ranges in left/right ipsec.conf
options. As responder the connection is acceptable if the address is in one of
the ranges/subnets. To initiate connections, at least one single IP or hostname
is required for the peer address.

man: add support for multiple addresses/ranges/subnets in ipsec.conf left=

ike: support multiple addresses, ranges and subnets in IKE address config

Replace the allowany semantic by a more powerful subnet and IP range matching.
Multiple addresses, DNS names, subnets and ranges can be specified in a comma
separated list. Initiators ignore the ranges/subnets, responders match
configurations against all addresses, ranges and subnets.

ike-cfg: remove the to be obsoleted allow any parameter in get_my/other_addr

backends: use ike_cfg host matching functions

ike-cfg: add methods to match a host against configured local/remote addresses

trap-manager: use ike_cfg resolver functions

ike-sa: use ike_cfg resolver functions

ike-cfg: add a method to resolve local/remote hosts with port

Merge branch 'ikev1-pushmode'

Implements Mode Config Push mode in IKEv1 using the existing modeconfig=push
ipsec.conf option.

stroke: ignore a leftsourceip if a rightsourceip is given as well

As we always negotiate virtual IPs in charon, having both left- and
rightsourceip is not allowed. Both in IKEv1 and IKEv2 we support a single
configuration payload exchange only.

man: update ipsec.conf modeconfig keyword

ikev1: implement mode config push mode

stroke: re-enable modeconfig keyword

peer-cfg: add a pull/push mode option to use with mode config

pubkey_speed: Add missing plugins

The pkcs1 plugin is required to test the gmp/gcrypt plugins. Likewise,
the pem plugin is required when testing the openssl plugin.

Fixes #401.

pubkey_speed: sudo is not required

Also, refer to pubkey_speed properly when not being called from the same
directory.

pubkey_speed: Add header and fix usage

Merge branch 'xauth-radius-multi'

Introduces multiple rounds in the eap-radius XAuth backend, concatenating
answers to a single password to verify using a RADIUS User-Password attribute.
This is known to work fine with iOS and OS X clients, allowing two-factor
authentication with proper dialogs.

Different XAuth "profiles" for each backend can be selected using a generic
colon sperated suffix for the XAuth string.

charon-cmd: support prompting for a PIN

To support a Password and PIN XAuth combo, additionally support multiple
prompts for different credential types.

xauth-generic: honor requested XAuth credential types as a client

Support requesting of XAuth PINs and print XAuth messages.

attributes: shorten some Unity and XAuth attribute short names

message: print type of configuration payload

message: print attributes for IKEv1 configuration payloads as well

eap-radius: support XAuth configuration profiles, defining multiple XAuth rounds

xauth: add a configuration string option to be passed to XAuth instances

The configuration string is appended to the XAuth backend name, separated by
a colon. The configuration string is passed untouched to the backend, where
it can change the behavior of the XAuth module.

Use ipsec_DATA destination

Install SWID tag also in /share/

Generate strongSwan SWID tag

Added regids table and some sample reqid data

Pull dave for OS info

Corrected debug class to DBG_IMC

autoconf: Split PACKAGE_VERSION in four parts

The parts can be accessed with the variables:

PACKAGE_VERSION_MAJOR
PACKAGE_VERSION_MINOR
PACKAGE_VERSION_BUILD
PACKAGE_VERSION_REVIEW

The last part will be empty for regular releases.

conftest: Fix hook constructor resolution via dlsym()

AM_CPPFLAGS only takes preprocessor flags like -I or -D, so it did not
forward -rdynamic to the linker (--export-dynamic), which meant that the
symbols defined in the executable itself were not resolvable via dlsym().

Fixes #394.

SWID IMC implements recursive tag collection in /usr/share

aes-test: Rename crypt() as it conflicts with a library function on Mac OS X

unistd.h on Linux defines this only if _XOPEN_SOURCE is defined.

kernel-pfroute: Fix mixed up memset() call in get_route()

The retry code introduced in dc8b083 got the memset() arguments wrong.
Fix this to ensure the buffer gets zeroed, for real.

It probably doesn't matter as we do reset the message length on retry, so
the stale data shouldn't be seen by anyone.

Found-by: git grep 'memset\s*\([^,]*,\s*[^,]*,\s*0\s*\)'

testing: support a .gitignored testing.conf.local for site-local configurations

charon-xpc: add a note how to build the source tarball

charon-xpc: include and prefer AES-GCM algorithms in ESP proposal

Version bump to 5.1.1dr2

Added TCG-SWID error handling

Added scripts/aes-test to .gitignore

Added tzset memory leak to whitelist

Selectively enable PT-TLS and/or RADIUS sockets in tnc-pdp plugin

aes-test: Support test vectors at the end of a file

aes-test: Add script to test AES implementations according to AESAVS/GCMVS

chunk: Print chunks without separator if + modifier is used

utils: Add case-insensitive version of strpfx()

stroke: stop enumerating IKE_SAs in statusall if output stream gets closed

If the output stream is not interested in more information, it can close the
the stream. Checking for stream errors avoids useless enumeration of IKE_SAs,
saving resources. This allows to use "ipsec statusall | head" to monitor the
daemon, or stop enumerating IKE_SAs after a specific entry has been found.

Cleaned configuration files in PT-TLS client scenario

kernel: Restore enumeration of all addresses when searching for address in TS

Since f52cf07532 addresses on ignored, down or loopback interfaces were
not considered as valid addresses anymore when searching for an address
contained in the local traffic selector.  This meant that route
installation failed, for instance, if charon.install_virtual_ip_on was
set to 'lo', or, on gateways, if internal interfaces were ignored with
the charon.interfaces_* options.

conftest: Disable reset_seq hook on systems other than Linux

Fixes #386.

kernel-netlink: Fix calculation of ESN bitmap length

While bmp_len stores the number of u_int32_t the allocated bitmap
actually consists of those integers.

Added stand-alone pt-tls-client to NEWS

Flush iptables rules on alice

Fixes in tnc scenarios

Added tnc/tnccs-20-pt-tls scenario

Version bump to 5.1.1dr1

Process PB-TNC batches received via PT-TLS asynchronously

Optimize TLS socket buffer for TLS_MAX_FRAGMENT_LEN

Output handler of a given workitem

Implemented SWID Tag Inventory attribute

deleted moved files