<div dir="ltr">Hi,<div><br></div><div>There is a Request for Feature Enhancement [1] to support authentication certifications for VPNaaS IPSec site to site connections, by using Barbican, in a manner similar to what was done for LBaaS listeners. </div><div><br></div><div>Currently, VPNaaS only supports pre-shared keys for authentication, but the reference StrongSwan implementation of VPN supports several types of authentication. [2]</div><div><br></div><div>Looking at IPsec site-to-site connections, there are examples [3] for PSK and X.509 certificates.</div><div><br></div><div>Should we just do X.509 certificates for now?</div><div>Are there other methods that we should support?<br></div><div>Can Barbican support such methods?</div><div><br></div><div>The plan is to support other VPN types in the future (e.g. DM VPN), so we want to make sure this will be extendable.</div><div><br></div><div>Suggestions/Comments/Concerns?</div><div><br></div><div>Thanks!</div><div><br></div><div>Paul Michali (pc_m)</div><div><br></div><div><br></div><div>[1] <a href="https://bugs.launchpad.net/neutron/+bug/1459427">https://bugs.launchpad.net/neutron/+bug/1459427</a></div><div>[2] <a href="https://wiki.strongswan.org/projects/strongswan/wiki/IpsecSecrets">https://wiki.strongswan.org/projects/strongswan/wiki/IpsecSecrets</a></div><div>[3] <a href="https://wiki.strongswan.org/projects/strongswan/wiki/IKEv2Examples">https://wiki.strongswan.org/projects/strongswan/wiki/IKEv2Examples</a> (see site-2-site)</div><div><br></div></div>