eap-radius: Add an option to exclude ports from Called/Calling-Station-Id

version bump to 5.0.4dr1

fixed another printf statement

fixed printf statements

emit a single assig_vips bus message for all VIPs

ifmap plugin subscribes to assing_vip bus signal

Added missing sasl Doxygen group

unity: Check IKE_SA in only after enumerating virtual IPs

fixed configure options

cleaned up XML code in tnccs-11 plugin

duplicheck: track multiple IKE_SAs in checking state to avoid any races

When two consequent duplicates have been detected, track state of each checking
IKE_SA separately, avoiding potential race conditions between the active SA
and the different SAs in checking state.

fixed memory leak

properly handle orphaned renewSession jobs

support chunked HTTP responses

implemented periodic IF-MAP RenewSession request

Refactor check_for_rekeyed_child() in quick_mode task

Reuse reqid of an existing Quick Mode, even if it has been rekeyed

If two peers rekey Quick Modes at the same time, the original Quick Mode is
in REKEYING state and hence the requid is not reused. This is required though,
as two identical policies won't work if they have different requids.

List all stroke counters when "all" is given, and report if connection not known

Defer CHILD_SA rekeying if allocating an SPI fails

Accept a certificate/key pair to use client authentication in tls_test

version bump to 5.0.3

allow retrieval of private keys from other credential sets

improve checking of sent and received http messages

Updated strongswan.conf(5) man page

Load raw keys before possibly destroying the identity

If no identity (or %any) is configured the identification_t object is
destroyed and an invalid object was associated with the created pubkey
certificate.
Actually using %any does not work as the certificate would not match
when the client later provides an identity.

ipseckey: Use proper daemon name for enable option

Properly handle situation if no resolver plugins are loaded

fixed capability metadata

fix start of wpa_supplicant

updated strongswan.conf man page for tn_ifmap plugin

renamed tnc_ifmap2 plugin to tnc_ifmap

removed obsoleted tnc_ifmap plugin

implemented http basic authentication

parse IF-MAP server URI

implemented publish_enforcement_report and endSession methods

implemented publish_ike_sa method

ifmap message type is known

implemented publish_device_ip method

added IF-MAP SOAP error handling

created tnc_ifmap2_soap_msg class

implement NewSession and PurgePublisher messages using the libxml2 library

set up a new IF-MAP session

fixed typo

Fixed Doxygen comment in eap_radius plugin

Fix detection and use of netinet/ip6.h on FreeBSD

Don't set USE_ATTR_SQL when the sql plugin is enabled only

Make some private functions in plugins static

Fixes monolithic build.

Use new strongSwan HA kernel patchset keeping iptables ABI

Allows us to install stock debian iptables without the need for patching and
compiling our own.

Define SSHCONF from strongswan testing directory, not TESTDIR

This fixes the use of SSHCONF in the ssh wrapper script before ./do-tests
had a chance to create the required symlinks.

Lazy unmount guest filesystem after building image, as it still might be busy

crypt_burn: Proper cleanup

crypt_burn: Fix loop condition for regular crypters

libpts: Cast first argument for %.*s to int

error-notify: Close file descriptors in case clients are still connected

libpttls: Destroy reader when handling errors during SASL

pacman: Define gen_time out of the loop

It gets assigned if count==3 but only used later when count >= 7.

ipseckey: NULL pointer dereference fixed in error case

Recipes: Disable Anet unit tests

Some Anet unit tests may fail because of the network configuration on
the testing host. These failures do not indicate a problem in Anet but
are a result of unpredictable events.

Fixed some typos, courtesy of codespell

Added hostapd package to base image

Added Framed-IP-Address information to RADIUS accounting records

enforce singular of packets

asprintf(3) requires _GNU_SOURCE to be defined

Added ikev2/rw-eap-framed-ip-radius scenario

Store debug output from standalone IMC/IMVs

Added ikev2/ip-two-pools-v4v6-db scenario

Use proper integer types when handling TLS exchanges

tls_t.build takes a size_t argument not a ssize_t.

Check return value of asprintf(3) when converting AR identity

Using chunk_t.ptr as target was also not optimal as it resulted in
a compiler warning.

version bump to 5.0.3rc1

Switch encoding of AR Identity Value from binary to UTF-8

Fixed TKM build

Build TNC-enabled wpa_supplicant

activate logging before loading plugins

Add a load-tester option to keep allocated external address until shutdown

android: No need to disable CMS explicitly

The version check introduced with 0d237763 should take care of it.

Allow up to 10 NAT-D payloads in IKEv1 messages

Avoid a race condition when reloading secrets from ipsec.secrets

With the previous implementation that cleared the secrets in the active
credential set and then loaded the secrets, IKE SA establishment would
fail (as initiator or responder) if secrets are concurrently reloaded
and the required secret was not yet loaded.

Add a method to replace all secrets in a mem_cred_t object

android: Build native libraries also for x86

Requires an updated build script for Vstr.

android: libtnccs requires headers from libtls

android: Fix Android.mk for ipsec script

android: Remove/filter header files from LOCAL_SRC_FILES

This avoids huge warnings when building the native code.

android: Request and install an IPv6 DNS server

android: Also request a virtual IPv6 address and propose IPv6 TS

This allows IPv6 over IPv4 but falls back nicely if we don't get a
virtual IPv6 (or IPv4) address.

ipsec: Increased log level for message in case no outbound policy is found

This might happen on Android if sockets are bound to the physical IP
address but packets are still routed via TUN device.  Since it seems to
happen quite often (or for stuff that requires regular traffic) this
hides these messages from the default log.

Add an option to autobalance a HA cluster automatically

Check if for some reason we handle a HA segment on both nodes

Acquire HA segment lock while sending heartbeat

Removed unused variable 'id'

Properly cleanup libmysql

Seems to work correctly with recent MySQL versions.

Use proper address family when adding multiple addresses to SQL pool

Ignore SQL-based IP address pools if their address family does not match

charon-nm: Add dependencies to CERT_DECODE and PRIVKEY plugin features

This ensures the NM-specific credential set is unloaded before any
implementation of certificate/key objects, which causes a segmentation
fault during shutdown.

charon-nm: Prevent NM from changing the default route

This is not required as we install our own (narrow) route(s) in our own
routing table. This should allow split tunneling if configured on the
gateway.

charon-nm: Use VIP (if any) as local address

NM will install this address on the provided device.

charon-nm: Pass a dummy TUN device to NetworkManager

NetworkManager modifies the addresses etc. on this interface so using
"lo" is not optimal. With the dummy interface NM is free to do its
thing.

charon-nm: Fix NM plugin utility macros

Ignore 'compile' script which is generated by AM_PROG_CC_C_O

Avoid returning COOKIEs right after system boot

When the monotonic timer is initialized to 0 right after the system is
booted the daemon responded with COOKIES for COOKIE_CALMDOWN_DELAY (10s).

Since the COOKIE verification code actually produces an overflow for
COOKIE_LIFETIME (10s) it wouldn't even accept properly returned COOKIEs.

Checking for last_cookie makes sense anyway as that condition must only
apply if we actually sent a COOKIE before.

Fix scheduling of heartbeat sending in HA plugin

e0efd7c1 switches to automated job rescheduling for HA heartbeat. However,
send_status() is initially called directly, which will not reschedule the job
as required.