Properly handle thread cancelation in rwlock_condvar_t

Use an rwlock in kernel-pfroute too

Use rwlock and rwlock_condvar to increase concurrency in kernel-netlink plugin

Use a separate mutex for cached routes in kernel-netlink plugin

Added a condvar implementation that works with rwlock_t

Use a lock to safely check and update the time for the next roam event

Added an option to configure the interface on which virtual IP addresses are installed

Changed how kernel-netlink handles virtual IP addresses

Also tried to avoid the use of enumerators.

Made IP address enumeration more flexible

Also added an option to enumerate addresses on ignored interfaces.

Avoid calculating the hash if hashtable is empty

Use a hashtable to quickly check for usable IP addresses/interfaces

Drop packets received on ignored interfaces

Filter ignored interfaces in kernel interfaces (for events, address enumeration, etc.)

%any is never on a local interface

Avoid memset in is_anyaddr()

Make it easy to check if an address is locally usable via changed get_interface() method

Don't ignore loopback devices and allow addresses on them being enumerated

Added options and a lookup function that will allow filtering of network interfaces

Make streq() and strcaseeq() static inline functions so they can be used as callbacks

Use source address in get_nexthop() call

Otherwise the nexthop returned might belong to a different route than
the one actually used with the current source address.

Source address lookup refactored

Routes matching the destination are now first parsed and sorted by network
prefix length.  This list is then used to search for the best route with
a matching preferred source address (if one is specified).  This makes sure
we really check all routes for that address.

Check routes with equal prefix if preferred source is specified

Try to find preferred source on interface if returned source does not match

Try to keep the given source address when looking up routes

This allows to pin the local end of an IKE_SA to an address that is not the
physical address of an interface.  Without this patch the local address would
change to the physical address when roam events occur.

Make sure we propose a dynamic TS if we don't have hosts to derive a TS from

7ee37114 removed this behavior.

Move rw-eap-dynamic scenario to its proper location

In mem_pool, check for an existing ID entry before creating a new one

Merge branch 'unity'

Add Cisco Unity extension support implemented in a dedicated plugin.

Add a simple test case for the unity plugin, featuring both includes and excludes

Build unity plugin in strongSwan test suite

Add unity plugin NEWS

Update ipsec.conf.5, leftsubnet can handle multiple subnets in IKEv1 with Unity

As Unity responder, don't change the proposed TS at all, racoon doesn't like that

Don't complain about multiple TS in IKEv1, as it supported with Unity

As initiator, narrow received Unity attributes to configured TS

When using Unity, bump up remote TS as initiator to 0.0.0.0/0, too

Enable Cisco Unity only if Unity vendor id received

Exchange 0.0.0.0/0 traffic selectors with Unity, narrowing after exchange

Add a Unity attribute provider that adds Split-Includes for TS

Check if subset calculation actually yields a TS in Unity narrowing

Request Unity configuration attributes for IKEv1 only

Add Cisco Unity client support for Split-Include and Local-LAN

Add a road-warrior test case requesting both an IPv4 and an IPv6 virtual address

Derive a dynamic TS to multiple virtual IPs

Use the vararg list constructor in quick mode task

Add a linked list constructor taking items from a vararg list

Make stroke user-creds work with XAuth configs

Fix Doxygen comment for proposal_keywords_t

Two dots seem to mark the end of a list.

New Android release after fixing IDr problems

Use random ports in NetworkManager backend

Fix equality comparison of auth_cfg_t

We previously only confirmed that rules contained in the first config are also
contained in the second, but since the number of rules does not have to
be equal, it might be that the second config contains rules that the
first one doesn't.

Set AUTH_RULE_IDENTITY_LOOSE for rightid=%<identity>

Use AUTH_RULE_IDENTITY_LOOSE in NetworkManager backend

android: Use AUTH_RULE_IDENTITY_LOOSE

Add AUTH_RULE_IDENTITY_LOOSE which allows to use IDr loosely as initiator

If it is set on an auth config IDr will not be sent, and later the configured
identity will not only be checked against the returned IDr, but also
against other identities contained in the responder's certificate.

New Android release after fixing Unicode conversion bug

android: Fix conversion of actual Unicode strings (i.e. bytes!=chars)

Removed the unneeded socket-raw plugin

Change traffic selectors during Quick Mode in case of a NAT in transport mode

Windows 7 sends its internal address as TSi.  While we don't support the
NAT-T drafts as used by Windows XP it is interesting to note that the
client there omits the TSi payload which then would automatically get set
to the public IP address of the client.

Fixes #220.

Merge branch 'custom-crypto'

This provides plugins with an interface to register keywords for
proposals (e.g. when parsing the esp and ike options from ipsec.conf)
and the possibility to register identifiers for kernel algorithms.

It is based on patches contributed by Nanoteq Pty Ltd.

Added algorithm lookup via kernel_interface_t to the various kernel interfaces

Added possibility to register custom kernel algorithms to kernel interface

Added possibility to register custom proposal keywords

Keyword lookup and registration are handled via the new lib->proposal object.

Removed len argument from proposal_get_token()

Also use enumerators instead of lexparser.h to parse proposal strings.

Make arguments for enumerator_create_token|directory const

Moved proposal_keywords to proposal_keywords_static

Added new proposal keywords with function to reference the static keywords.

Option added to enforce a configured destination address for DHCP packets

version bump to 5.0.1rc1

Allow calls to set_address() for any host-sized TS, not only dynamic ones

This fixes CHILD_SA updates (e.g. due to MOBIKE), which were broken
since 4cb0783.

Ensure traffic selectors are dynamic before calling set_address() when deriving them

Consistently log XFRM mark masks with 0 prefix in kernel-netlink plugin

starter: Added --nolog option to suppress logging in starter itself

Fixes #224.

Updates to strongswan.conf(5) man page (added several missing options)

Some updates to ipsec.conf(5) man page

starter: Allow %any also for protocol in left|rightprotoport

Don't allow NULL encryption with PEAP

Use memmove on overlapping regions, and operate with correct sizeof()

Whitespace cleanups in tls_eap

Use uintptr_t in mem pool to avoid compiler warning if sizeof(void*) != sizeof(int)

ikev1 hybrid authentication does not need client certificates

corrected topology in ikev2/rw-radius-accounting scenario

added ikev2/rw-eap-dynamic scenario

Always send a configuration payload in IKEv1 TRANSACTIONs, even if it is empty

Don't use host address for dynamic TS in IKEv1 if a virtual IP was expected

Don't use host address for dynamic TS in IKEv2 if a virtual IP was expected

Don't return a subset for a dynamic TS unless set_address has been called

Send FAILED_CP_REQUIRED if a configuration payload was expected, but not received

Check for an existing lease in all stroke pools before creating a new one

Pass full pool list to release_address

Pass the full list of pools to acquire_address, enumerate in providers

If the provider has access to the full pool list, it can enumerate
them twice, for example to search for existing leases first, and
only search for new leases in a second step.

Fixes lease enumeration in attr-sql using multiple pools.

Add a linked list constructor initializing from an enumerator

Add a responder narrow() hook to change TS in the kernel, but not on the wire

Support RADIUS accounting when using IKEv1 with xauth-eap and eap-radius

Fix leak while enumerating RADIUS Framed-IPs from IKE_SA

Add uniqueids=never to ignore INITIAL_CONTACT notifies

With uniqueids=no the daemon still deletes any existing IKE_SA with the
same peer if an INITIAL_CONTACT notify is received.  With this new option
it also ignores these notifies.

Add random plugin options to strongswan.conf.5

Add strongswan.conf runtime options for /dev/[u]random files

Fixes #221.

this is the correct evaltest

recovered ikev2/ip-two-pools-mixed evaltest

adapted ip-pool evaltests