<html><head><meta http-equiv="content-type" content="text/html; charset=utf-8"></head><body dir="auto"><div style="direction: rtl;"><div style="direction: ltr;">Hi Paul</div><div style="direction: ltr;"><br></div><div style="direction: ltr;"><blockquote type="cite">>> Please use the swan mailing list. I don't scale at internet sizes.</blockquote></div><div style="direction: ltr;">Sorry, typed wrong. I've taken your email from the project site. (<a href="https://libreswan.org/wiki/Support">https://libreswan.org/wiki/Support</a>)</div><div style="direction: ltr;"><br></div><div style="direction: ltr;"><br></div><div style="direction: ltr;"></div><blockquote type="cite"><div style="direction: ltr;">>> You can set IPsec SA and IKE SA time limits via ikelifetime= and</div><div style="direction: ltr;">>> salifetime=</div><div style="direction: ltr;"><br></div><div style="direction: ltr;">>> The user then has to re-authenticate to continue.</div><div style="direction: ltr;"><br></div><div style="direction: ltr;">>> For IKEv1, you can use xauthby=pam and create an appropriate</div><div style="direction: ltr;">>> /etc/pam.d/pluto configuration file.</div><div style="direction: ltr;"><br></div><div style="direction: ltr;">>> For IKEv2, you can set pam-authorize=yes and do something similar.</div><div style="direction: ltr;"><br></div><div style="direction: ltr;">>> For example, ou can use pam with radius or you can use the pam_url</div><div style="direction: ltr;">>> module to run your own REST based API to make custom decisions.</div><div style="direction: ltr;"><br></div><div style="direction: ltr;">>> Usually however, people limit the users by amount of traffic, not by</div><div style="direction: ltr;">>> amount of time. The updown scripts log the traffic and can be modified</div><div style="direction: ltr;">>> to report the traffic to a monitor/audit server for keeping count.</div><div style="direction: ltr;">>> For existing connections, "ipsec whack --trafficstatus" shows all</div><div style="direction: ltr;">>> connections/users and their currently used traffic (that has not yet</div><div style="direction: ltr;">>> been reported via updown since the connection is still up)</div></blockquote><div style="direction: ltr;"><br></div><div style="direction: ltr;">Thanks for the help you.</div><div style="direction: ltr;">Where are these parameters?</div><div style="direction: ltr;"> pam-authorize</div><div style="direction: ltr;"> salifetime</div><div style="direction: ltr;"> ikelifetime</div><div style="direction: ltr;"><br></div><div style="direction: ltr;">I have a request and request from you, and I hope you do not refuse it.</div><div style="direction: ltr;">I'm really tired of trying hard.</div><div style="direction: ltr;">I'll give you a raw server.</div><div style="direction: ltr;">Can you start the IPSec and ikev2 with pam_radius_auth service on my server?</div><div style="direction: ltr;">I really need your help and cooperation.</div><div style="direction: ltr;">Thank you very much</div></div><div></div><div><br>On Aug 13, 2018, at 9:24 PM, Paul Wouters <<a href="mailto:paul@nohats.ca">paul@nohats.ca</a>> wrote:<br><br></div><blockquote type="cite"><div><span>On Mon, 13 Aug 2018, Peyman Ghorbani wrote:</span><br><span></span><br><blockquote type="cite"><span>First thank you for taking the time and reading my letter.</span><br></blockquote><blockquote type="cite"><span>I found your email address from Google.</span><br></blockquote><span></span><br><span>Please use the swan mailing list. I don't scale at internet sizes.</span><br><span></span><br><blockquote type="cite"><span>I'll start talking very quickly.</span><br></blockquote><blockquote type="cite"><span>I was able to launch the IPSec Cisco service on the my VPS by following the link below.</span><br></blockquote><blockquote type="cite"><span><a href="https://github.com/hwdsl2/setup-ipsec-vpn">https://github.com/hwdsl2/setup-ipsec-vpn</a></span><br></blockquote><blockquote type="cite"><span>Very convenient and fast in less than a few minutes, my quality service was delivered. But now I have a problem.</span><br></blockquote><blockquote type="cite"><span>This Shell script has provided me with just one account (Username/password and IPSec PSK) without any limitations.</span><br></blockquote><blockquote type="cite"><span>I need to set a time limit for accounts.</span><br></blockquote><blockquote type="cite"><span>In short, I want this service to be connected to the accounting via PAM RADIUS.</span><br></blockquote><span></span><br><span>You can set IPsec SA and IKE SA time limits via ikelifetime= and</span><br><span>salifetime=</span><br><span></span><br><span>The user then has to re-authenticate to continue.</span><br><span></span><br><span>For IKEv1, you can use xauthby=pam and create an appropriate</span><br><span>/etc/pam.d/pluto configuration file.</span><br><span></span><br><span>For IKEv2, you can set pam-authorize=yes and do something similar.</span><br><span></span><br><span>For example, ou can use pam with radius or you can use the pam_url</span><br><span>module to run your own REST based API to make custom decisions.</span><br><span></span><br><span>Usually however, people limit the users by amount of traffic, not by</span><br><span>amount of time. The updown scripts log the traffic and can be modified</span><br><span>to report the traffic to a monitor/audit server for keeping count.</span><br><span>For existing connections, "ipsec whack --trafficstatus" shows all</span><br><span>connections/users and their currently used traffic (that has not yet</span><br><span>been reported via updown since the connection is still up)</span><br><span></span><br><span>Paul</span><br></div></blockquote></body></html>