Don't send supported elliptic curves in PEAP TLS Client Hello

At least Windows servers reject such hellos, making PEAP unusable.

Use memmove on overlapping regions, and operate with correct sizeof()

Whitespace cleanups in tls_eap

PEAP white space cleanups

Add a fallback callback to enum_name printf hook

If mapping the enum value failed, the callback can directly write
to the output stream to write the fallback value.

Chain enum_name elements to a fixed header

Support a %M specifier in the enum_name printf hook, selecting enum_name with a callback

Merge branch 'multi-vip'

Brings support for multiple virtual IPs and multiple pools in
left/rigthsourceip definitions. Also introduces the new left/rightdns
options to configure requested DNS server address family and respond
with multiple connection specific servers.

Merge branch 'eap-client-select'

This brings support for EAP-Nak payloads on the client (to select a
specific or supported method), and the server (via the eap-dynamic
plugin which selects a method supported/requested by the client).

NEWS about eap-dynamic plugin added

Documentation for eap-dynamic added

Log the proper type for virtual EAP methods

Added an option to prefer types sent by peer in eap-dynamic plugin

eap-dynamic plugin handles EAP-Nak messages and selects a method supported by the peer

Preferred EAP methods for eap-dynamic can be configured

The eap-dynamic plugin uses the first supported method as default

Added eap-dynamic plugin which can proxy any other EAP method

Use eap_vendor_type_from_string() in stroke

Function added that parses EAP method strings ([eap-]type[-vendor])

Added method to enumerate EAP types contained in an EAP-Nak

Encode EAP-Naks in expanded format if we got an expanded type request

Since methods defined by the IETF (vendor ID 0) could also be encoded in
expanded type format the previous check was insufficient.

Allow clients to request a configured EAP method via EAP-Nak

Virtual EAP methods handle EAP-Naks themselves

Send EAP-Nak with supported types if requested type is unsupported

Filter invalid EAP authentication types when enumerating them

Valid authentication types defined by the IETF are 4-253 and 255.

Move our pseudo EAP types out of the range of valid EAP methods

version bump to 5.0.1dr4

Added multiple left/rightsourceip NEWS

Added NEWS for left/rightdns options

Updated ipsec.conf.5 with multiple left/rightsourceip support

Added a note to _updown for the new PLUTO_MY_SOURCEIP* variables

Be less verbose if IP allocation for a single pool fails

DHCP plugin returns virtual IPs for IPv4 requests only

Check address family in HA virtual IP backend

Strictly enforce address family match while acquiring mem_pool IPs

Don't parse comma separated pool names in attr-sql

We now handle multiple pools at a deeper level, making that special
handling obsolete. Comma separated pools are parsed in stroke.

Handle comma separated pools as multiple pool names in SQL plugin

Request and acquire multiple virtual IPs in IKEv1 Mode Config

Request and acquire multiple virtual IPs in IKEv2 configuration payload

Pass all configured pool names to attribute provider enumerator

Pass a list instead of a single virtual IP to attribute enumerators

Support multiple addresses/pools in left/rightsourceip

Support multiple address pools configured on a peer_cfg

Support multiple virtual IPs on peer_cfg and ike_sa classes

Ported tun_device de-/initialization to FreeBSD

struct iphdr is Linux specific use struct ip instead

Include stdint.h for UINT32_MAX on FreeBSD

Ported tun_device initialization to OS X utun

Ewa did the new Polish translation

Log configured IKE_SA proposals as initiator

Log configured CHILD_SA proposals as initiator

Fall back to local address as IKEv1 identity if nothing else is configured

Removed deprecated options from ipsec.conf template

Apply send delay before adding non-ESP marker

Otherwise the packet header could not be parsed correctly when NAT-T is
used.

Add a getter for the mem_pool_t base address

use pen_type_t for PA Message Subtype

Added a method to enumerate registered EAP methods

Remove unused ipsec.conf left/rightnatip keyword

Add description about DNS server variables to _updown

Add a DNS attribute handler to updown, passing servers to updown script

Add a description of the leftdns option to ipsec.conf.5

Add a stroke attribute_handler requesting DNS servers given with leftdns

Serve ipsec.conf rightdns servers through stroke attribute provider

Add a left/rightdns keyword to configure connection specific DNS attributes

Remove unused src/dst variables in send_no_marker()

use pen_type_t for attribute request entries

define pen_type_t as a vendor-specific type

Don't use POSIX semaphores if a MONOTONIC clock is available

POSIX semaphores use CLOCK_REALTIME, but our semaphore_t abstraction
expects CLOCK_MONOTONIC based times. Use the mutex/condvar based
fallback if time_monotonic() actuall returns monotonic times.

Remove the unused second IKE_SA entry match function argument

LLVMs clang complains about this parameter, so remove it.

Add a mutex/condvar based semaphore implementation if sem_timedwait is unavailable

Fixes #214.

added IBM and OpenPTS Private Enterprise Numbers

Add keymat_t constructor registration function

Using the register_constructor function enables custom keymat_t
implementations per IKE version. If no constructor is registered the
default behavior is preserved.

fixed caption

implemented IETF Attribute Request attribute

version bump to 5.0.1dr3

openssl: Fix registration of the PUBKEY builder

libtls drops support for RSA suites if it does not find an RSA backend
(final builder for RSA public keys).

Without the ties to PAM we can build eap-gtc on Android

CAP_AUDIT_WRITE is now required by xauth-pam not eap-gtc plugin

Removed manual EAP method registration in eap-gtc plugin

Enable build of eap-tls, eap-ttls and eap-peap on Android

Add a wrapper around vstr_add_fmt() to avoid having to link libcharon against libvstr

At least on Android the latter would be required.

starter: Restore original config in case also= is used (which reads the same values)

Increased log level when listing interfaces and IP addresses during startup

This avoids confusing log messages in starter and ipsec statusall
already lists the available addresses anyway.

Only load kernel plugins in starter when flushing SAD/SPD entries

This avoids keeping the kernel sockets open when they are not actually
needed, which could lead to resource problems (in particular with PF_KEY
where all open sockets receive all messages).

Fixes #217.

Enable UDP decapsulation for both address families

Since the 3.5 Linux kernel both UDP implementations have a separate static
flag to indicate whether ANY sockets enabled UDP decapsulation.
As we only ever enabled it for one address family (in earlier versions IPv4
only, now for IPv6, if supported, and for IPv4 otherwise) UDP decapsulation
wouldn't work anymore (at least for one address family).

Correctly transmit EAP-MSCHAPv2 user name if it contains a domain part

fall through to evidence measurements if no file measurements must be done

upgraded to Ubuntu 12.04.1 LTS

added deletion of product/file entries to usage

New Android release after adding error dialog

Skipped one version due to a rebasing mishap.

Show an error message if VPN is not supported

Some devices have Android 4 installed but the system images still seem to
lack the components that are required for VPN support. One such
component is the dialog used to grant permission to create .

Enable search for certificate lists (via SearchView in ActionBar)

Added new UI to select a specific CA certificate

With this change there is no need to wait for all certificates being loaded
anymore (this happens only when the user opens the selection activity).

Don't try to save profile ID if there is none

List fragment for trusted certificates can notify listeners about clicks

Added an activity that shows lists of CA certificates in two tabs

Added a ListFragment that lists trusted certificates (loaded via a custom Loader)

Changed TrustedCertificateAdapter for use with ListViews and TrustedCertificateEntry

Remove certificate spinner from edit view

Function to get only system-wide CA certificates added to TrustedCertificateManager