<div dir="ltr"><div><div><div>Hi,<br><br>    I know that it is possible to configure Libreswan to be a VPN server supporting multiple xauth rounds. But does it work also when Libreswan is in the client role?<br></div>My VPN server is Cisco ASA and my client is Libreswan version 3.12. Server is using OTP, and generated OTP password is sent to me by email.<br>    I think that during first xauth round a user password is automatically used after which OTP password is required. I&#39;m stuck at this step, as I do not get prompt from Libreswan to enter that  OTP password.<br><div><br>I initiate VPN connection using:<br></div>ipsec auto --up cisco<br><br>My configuration is:<br><br></div><div>/etc/ipsec.conf<br> <br>config setup<br>    protostack=netkey<br></div><div>    nat_traversal=yes<br>    virtual_private=%v4:<a href="http://10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10">10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v4:100.64.0.0/10,%v6:fd00::/8,%v6:fe80::/10</a><br>    include /etc/ipsec.d/*.conf<br><br>---<br><br></div><div>/etc/ipsec.d/cisco.conf<br><br></div><div>conn cisco<br>    # fill in your groupname and username<br>    leftid=@mygroupname<br>    leftxauthusername=myusername<br>    # <br>    # The proposals have to match exactly or the cisco stops talking<br>    ike=aes128-sha1;modp1024<br>    esp=aes128-sha1;modp1024<br>    right=IP_address_of_Cisco_ASA<br>    initial_contact=yes<br>    aggrmode=yes<br>    authby=secret<br>    left=%defaultroute<br>    leftxauthclient=yes<br>    leftmodecfgclient=yes<br>    remote_peer_type=cisco<br>    rightxauthserver=yes<br>    rightmodecfgserver=yes<br>    salifetime=24h<br>    ikelifetime=1h<br>    dpdaction=restart<br>    dpdtimeout=60<br>    dpddelay=30<br><br>---<br><br></div>/etc/ipsec.secrets<br><br>IP_address_of_Cisco_ASA  %any : PSK &quot;mygrouppwd&quot;        #this is PSK for group password<br>@myusername : XAUTH &quot;myxauthpwd&quot;                                #this is password for XAuth (user myusername)<br><br></div><div>---<br></div><div><br></div><div><br></div><div>Then in log messages i see logs from Libreswan:<br><br>Mar 24 13:17:54 vpn pluto[2817]: loading secrets from &quot;/etc/ipsec.secrets&quot;<br>Mar 24 13:17:55 vpn pluto[2817]: added connection description &quot;cisco&quot;<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: initiating Aggressive Mode #1, connection &quot;cisco&quot;<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: received Vendor ID payload [Cisco-Unity]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: received Vendor ID payload [XAUTH]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: received Vendor ID payload [Dead Peer Detection]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: received Vendor ID payload [RFC 3947]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: received Vendor ID payload [FRAGMENTATION c0000000]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: ignoring unknown Vendor ID payload [1f12235754e37200725ee00a4c30bc57]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: ignoring Vendor ID payload [Cisco VPN 3000 Series]<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: protocol/port in Phase 1 ID Payload MUST be 0/0 or 17/500 but are 17/0 (attempting to continue)<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: Aggressive mode peer ID is ID_IPV4_ADDR: &#39;IP_address_of_Cisco_ASA&#39;<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: enabling possible NAT-traversal with method RFC 3947 (NAT-Traversal)<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal) sender port 500: I am behind NAT<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: transition from state STATE_AGGR_I1 to state STATE_AGGR_I2<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: STATE_AGGR_I2: sent AI2, ISAKMP SA established {auth=PRESHARED_KEY cipher=aes_128 integ=sha group=MODP1024}<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: Dead Peer Detection (RFC 3706): enabled<br>Mar 24 13:18:00 vpn pluto[2817]: | Received Cisco XAUTH type: Generic<br>Mar 24 13:18:00 vpn pluto[2817]: | Received Cisco XAUTH username<br>Mar 24 13:18:00 vpn pluto[2817]: | Received Cisco XAUTH password<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH: Answering XAUTH challenge with user=&#39;myusername&#39;<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: transition from state STATE_XAUTH_I0 to state STATE_XAUTH_I1<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: STATE_XAUTH_I1: XAUTH client - awaiting CFG_set<br>Mar 24 13:18:00 vpn pluto[2817]: &quot;cisco&quot; #1: Dead Peer Detection (RFC 3706): enabled<br>Mar 24 13:18:01 vpn pluto[2817]: | Received Cisco XAUTH type: Generic<br>Mar 24 13:18:01 vpn pluto[2817]: | Received Cisco XAUTH password<br>Mar 24 13:18:01 vpn pluto[2817]: | Received Cisco XAUTH message<br>Mar 24 13:18:03 vpn pluto[2817]: | Received Cisco XAUTH type: Generic<br>Mar 24 13:18:03 vpn pluto[2817]: | Received Cisco XAUTH username<br>Mar 24 13:18:03 vpn pluto[2817]: | Received Cisco XAUTH password<br>Mar 24 13:18:03 vpn pluto[2817]: | Received Cisco XAUTH message<br>Mar 24 13:18:03 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH Message: Enter your MAIL one-time password<br>Mar 24 13:18:03 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH: Answering XAUTH challenge with user=&#39;myusername&#39;<br>Mar 24 13:18:03 vpn pluto[2817]: &quot;cisco&quot; #1: transition from state STATE_XAUTH_I0 to state STATE_XAUTH_I1<br>Mar 24 13:18:03 vpn pluto[2817]: &quot;cisco&quot; #1: STATE_XAUTH_I1: XAUTH client - awaiting CFG_set<br>Mar 24 13:18:03 vpn pluto[2817]: &quot;cisco&quot; #1: Dead Peer Detection (RFC 3706): enabled<br>Mar 24 13:18:06 vpn pluto[2817]: | Received Cisco XAUTH type: Generic<br>Mar 24 13:18:06 vpn pluto[2817]: | Received Cisco XAUTH username<br>Mar 24 13:18:06 vpn pluto[2817]: | Received Cisco XAUTH password<br>Mar 24 13:18:06 vpn pluto[2817]: | Received Cisco XAUTH message<br>Mar 24 13:18:06 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH Message: Enter your MAIL one-time password<br>Mar 24 13:18:06 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH: Answering XAUTH challenge with user=&#39;myusername&#39;<br>Mar 24 13:18:06 vpn pluto[2817]: &quot;cisco&quot; #1: transition from state STATE_XAUTH_I0 to state STATE_XAUTH_I1<br>Mar 24 13:18:06 vpn pluto[2817]: &quot;cisco&quot; #1: STATE_XAUTH_I1: XAUTH client - awaiting CFG_set<br>Mar 24 13:18:06 vpn pluto[2817]: &quot;cisco&quot; #1: Dead Peer Detection (RFC 3706): enabled<br>Mar 24 13:18:08 vpn pluto[2817]: | Received Cisco XAUTH type: Generic<br>Mar 24 13:18:08 vpn pluto[2817]: &quot;cisco&quot; #1: Unsupported XAUTH basic attribute 32136?? received.<br>Mar 24 13:18:08 vpn pluto[2817]: | Received Cisco XAUTH message<br>Mar 24 13:18:08 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH Message: Enter your MAIL one-time password<br>Mar 24 13:18:08 vpn pluto[2817]: &quot;cisco&quot; #1: XAUTH: No username or password request was received.<br>Mar 24 13:18:16 vpn pluto[2817]: &quot;cisco&quot; #1: next payload type of ISAKMP Hash Payload has an unknown value: 231<br>Mar 24 13:18:16 vpn pluto[2817]: &quot;cisco&quot; #1: malformed payload in packet<br>Mar 24 13:18:24 vpn pluto[2817]: &quot;cisco&quot; #1: next payload type of ISAKMP Hash Payload has an unknown value: 231<br>Mar 24 13:18:24 vpn pluto[2817]: &quot;cisco&quot; #1: malformed payload in packet<br>Mar 24 13:18:32 vpn pluto[2817]: &quot;cisco&quot; #1: next payload type of ISAKMP Hash Payload has an unknown value: 231<br>Mar 24 13:18:32 vpn pluto[2817]: &quot;cisco&quot; #1: malformed payload in packet<br>Mar 24 13:18:40 vpn pluto[2817]: &quot;cisco&quot; #1: received Delete SA payload: self-deleting ISAKMP State #1<br>Mar 24 13:18:40 vpn pluto[2817]: packet from IP_address_of_Cisco_ASA:4500: received and ignored empty informational notification payload<br><br><br></div>Previously I used vpnc, which handled OTP passwords fine in above mentioned setup, but was unable to hold vpn connection for longer periods....<br></div>