projects / radsecproxy.git / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
implemented config file stack; to be used for include support
[radsecproxy.git] / radsecproxy.c
diff --git a/radsecproxy.c b/radsecproxy.c
index 4413927..aa01bb9 100644 (file)
--- a/radsecproxy.c
+++ b/radsecproxy.c
@@ -48,6 +48,8 @@
 #include <openssl/x509v3.h>
 #include "debug.h"
 #include "list.h"
+#include "util.h"
+#include "gconfig.h"
 #include "radsecproxy.h"
 
 static struct options options;
@@ -58,12 +60,14 @@ static int client_tls_count = 0;
 static int server_udp_count = 0;
 static int server_tls_count = 0;
 
-static struct clsrvconf *tcp_server_listen;
-static struct clsrvconf *udp_server_listen;
-static struct clsrvconf *udp_accserver_listen;
+static struct clsrvconf *srcudpres = NULL;
+static struct clsrvconf *srctcpres = NULL;
+
 static struct replyq *udp_server_replyq = NULL;
 static int udp_server_sock = -1;
 static int udp_accserver_sock = -1;
+static int udp_client4_sock = -1;
+static int udp_client6_sock = -1;
 static pthread_mutex_t *ssl_locks;
 static long *ssl_lock_count;
 extern int optind;
@@ -133,7 +137,7 @@ static int verify_cb(int ok, X509_STORE_CTX *ctx) {
 }
 
 int resolvepeer(struct clsrvconf *conf, int ai_flags) {
-    struct addrinfo hints, *addrinfo;
+    struct addrinfo hints, *addrinfo, *res;
     char *slash, *s;
     int plen;
 
@@ -160,77 +164,160 @@ int resolvepeer(struct clsrvconf *conf, int ai_flags) {
     hints.ai_socktype = (conf->type == 'T' ? SOCK_STREAM : SOCK_DGRAM);
     hints.ai_family = AF_UNSPEC;
     hints.ai_flags = ai_flags;
-    if (slash)
-       hints.ai_flags |= AI_NUMERICHOST;
-    if (getaddrinfo(conf->host, conf->port, &hints, &addrinfo)) {
-       debug(DBG_WARN, "resolvepeer: can't resolve %s port %s", conf->host, conf->port);
-       return 0;
-    }
-
-    if (slash) {
-       *slash = '/';
-       switch (addrinfo->ai_family) {
-       case AF_INET:
-           if (plen > 32) {
-               debug(DBG_WARN, "resolvepeer: prefix length must be <= 32 in %s", conf->host);
-               freeaddrinfo(addrinfo);
-               return 0;
+    if (!conf->host && !conf->port) {
+       /* getaddrinfo() doesn't like host and port to be NULL */
+       if (getaddrinfo(conf->host, DEFAULT_UDP_PORT, &hints, &addrinfo)) {
+           debug(DBG_WARN, "resolvepeer: can't resolve (null) port (null)");
+           return 0;
+       }
+       for (res = addrinfo; res; res = res->ai_next) {
+           switch (res->ai_family) {
+           case AF_INET:
+               ((struct sockaddr_in *)res->ai_addr)->sin_port = 0;
+               break;
+           case AF_INET6:
+               ((struct sockaddr_in6 *)res->ai_addr)->sin6_port = 0;
+               break;
            }
-           break;
-       case AF_INET6:
-           break;
-       default:
-           debug(DBG_WARN, "resolvepeer: prefix must be IPv4 or IPv6 in %s", conf->host);
-           freeaddrinfo(addrinfo);
+       }
+    } else {
+       if (slash)
+           hints.ai_flags |= AI_NUMERICHOST;
+       if (getaddrinfo(conf->host, conf->port, &hints, &addrinfo)) {
+           debug(DBG_WARN, "resolvepeer: can't resolve %s port %s", conf->host, conf->port);
            return 0;
        }
-       conf->prefixlen = plen;
-    } else
-       conf->prefixlen = 255;
-
+       if (slash) {
+           *slash = '/';
+           switch (addrinfo->ai_family) {
+           case AF_INET:
+               if (plen > 32) {
+                   debug(DBG_WARN, "resolvepeer: prefix length must be <= 32 in %s", conf->host);
+                   freeaddrinfo(addrinfo);
+                   return 0;
+               }
+               break;
+           case AF_INET6:
+               break;
+           default:
+               debug(DBG_WARN, "resolvepeer: prefix must be IPv4 or IPv6 in %s", conf->host);
+               freeaddrinfo(addrinfo);
+               return 0;
+           }
+           conf->prefixlen = plen;
+       } else
+           conf->prefixlen = 255;
+    }
     if (conf->addrinfo)
        freeaddrinfo(conf->addrinfo);
     conf->addrinfo = addrinfo;
     return 1;
 }        
 
-int connecttoserver(struct addrinfo *addrinfo) {
-    int s;
+int bindtoaddr(struct addrinfo *addrinfo, int family, int reuse, int v6only) {
+    int s, on = 1;
     struct addrinfo *res;
-
-    s = -1;
+    
     for (res = addrinfo; res; res = res->ai_next) {
+       if (family != AF_UNSPEC && family != res->ai_family)
+           continue;
         s = socket(res->ai_family, res->ai_socktype, res->ai_protocol);
         if (s < 0) {
-            debug(DBG_WARN, "connecttoserver: socket failed");
+            debug(DBG_WARN, "bindtoaddr: socket failed");
             continue;
         }
-        if (connect(s, res->ai_addr, res->ai_addrlen) == 0)
-            break;
-        debug(DBG_WARN, "connecttoserver: connect failed");
+       if (reuse)
+           setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &on, sizeof(on));
+#ifdef IPV6_V6ONLY
+       if (v6only)
+           setsockopt(s, IPPROTO_IPV6, IPV6_V6ONLY, &on, sizeof(on));
+#endif         
+
+       if (!bind(s, res->ai_addr, res->ai_addrlen))
+           return s;
+       debug(DBG_WARN, "bindtoaddr: bind failed");
         close(s);
-        s = -1;
     }
-    return s;
+    return -1;
 }        
 
-int bindtoaddr(struct addrinfo *addrinfo) {
-    int s, on = 1;
+char *parsehostport(char *s, struct clsrvconf *conf, char *default_port) {
+    char *p, *field;
+    int ipv6 = 0;
+
+    p = s;
+    /* allow literal addresses and port, e.g. [2001:db8::1]:1812 */
+    if (*p == '[') {
+       p++;
+       field = p;
+       for (; *p && *p != ']' && *p != ' ' && *p != '\t' && *p != '\n'; p++);
+       if (*p != ']')
+           debugx(1, DBG_ERR, "no ] matching initial [");
+       ipv6 = 1;
+    } else {
+       field = p;
+       for (; *p && *p != ':' && *p != ' ' && *p != '\t' && *p != '\n'; p++);
+    }
+    if (field == p)
+       debugx(1, DBG_ERR, "missing host/address");
+
+    conf->host = stringcopy(field, p - field);
+    if (ipv6) {
+       p++;
+       if (*p && *p != ':' && *p != ' ' && *p != '\t' && *p != '\n')
+           debugx(1, DBG_ERR, "unexpected character after ]");
+    }
+    if (*p == ':') {
+           /* port number or service name is specified */;
+           field = ++p;
+           for (; *p && *p != ' ' && *p != '\t' && *p != '\n'; p++);
+           if (field == p)
+               debugx(1, DBG_ERR, "syntax error, : but no following port");
+           conf->port = stringcopy(field, p - field);
+    } else
+       conf->port = default_port ? stringcopy(default_port, 0) : NULL;
+    return p;
+}
+
+struct clsrvconf *resolve_hostport(char type, char *lconf, char *default_port) {
+    struct clsrvconf *conf;
+
+    conf = malloc(sizeof(struct clsrvconf));
+    if (!conf)
+       debugx(1, DBG_ERR, "malloc failed");
+    memset(conf, 0, sizeof(struct clsrvconf));
+    conf->type = type;
+    if (lconf) {
+       parsehostport(lconf, conf, default_port);
+       if (!strcmp(conf->host, "*")) {
+           free(conf->host);
+           conf->host = NULL;
+       }
+    } else
+       conf->port = default_port ? stringcopy(default_port, 0) : NULL;
+    if (!resolvepeer(conf, AI_PASSIVE))
+       debugx(1, DBG_ERR, "failed to resolve host %s port %s, exiting", conf->host, conf->port);
+    return conf;
+}
+
+int connecttcp(struct addrinfo *addrinfo) {
+    int s;
     struct addrinfo *res;
-    
+
+    s = -1;
     for (res = addrinfo; res; res = res->ai_next) {
-        s = socket(res->ai_family, res->ai_socktype, res->ai_protocol);
+       s = bindtoaddr(srctcpres->addrinfo, res->ai_family, 1, 1);
         if (s < 0) {
-            debug(DBG_WARN, "bindtoaddr: socket failed");
+            debug(DBG_WARN, "connecttoserver: socket failed");
             continue;
         }
-       setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &on, sizeof(on));
-       if (!bind(s, res->ai_addr, res->ai_addrlen))
-           return s;
-       debug(DBG_WARN, "bindtoaddr: bind failed");
+        if (connect(s, res->ai_addr, res->ai_addrlen) == 0)
+            break;
+        debug(DBG_WARN, "connecttoserver: connect failed");
         close(s);
+        s = -1;
     }
-    return -1;
+    return s;
 }        
 
 /* returns 1 if the len first bits are equal, else 0 */
@@ -355,7 +442,7 @@ void removeclient(struct client *client) {
 
 void addserver(struct clsrvconf *conf) {
     if (conf->servers)
-       debugx(1, DBG_ERR, "currently works with just one server per conf");
+       debugx(1, DBG_ERR, "addserver: currently works with just one server per conf");
     
     conf->servers = malloc(sizeof(struct server));
     if (!conf->servers)
@@ -363,7 +450,36 @@ void addserver(struct clsrvconf *conf) {
     memset(conf->servers, 0, sizeof(struct server));
     conf->servers->conf = conf;
 
-    conf->servers->sock = -1;
+    if (conf->type == 'U') {
+       if (!srcudpres)
+           srcudpres = resolve_hostport('U', options.sourceudp, NULL);
+       switch (conf->addrinfo->ai_family) {
+       case AF_INET:
+           if (udp_client4_sock < 0) {
+               udp_client4_sock = bindtoaddr(srcudpres->addrinfo, AF_INET, 0, 1);
+               if (udp_client4_sock < 0)
+                   debugx(1, DBG_ERR, "addserver: failed to create client socket for server %s", conf->host);
+           }
+           conf->servers->sock = udp_client4_sock;
+           break;
+       case AF_INET6:
+           if (udp_client6_sock < 0) {
+               udp_client6_sock = bindtoaddr(srcudpres->addrinfo, AF_INET6, 0, 1);
+               if (udp_client6_sock < 0)
+                   debugx(1, DBG_ERR, "addserver: failed to create client socket for server %s", conf->host);
+           }
+           conf->servers->sock = udp_client6_sock;
+           break;
+       default:
+           debugx(1, DBG_ERR, "addserver: unsupported address family");
+       }
+       
+    } else {
+       if (!srctcpres)
+           srctcpres = resolve_hostport('T', options.sourcetcp, NULL);
+       conf->servers->sock = -1;
+    }
+    
     pthread_mutex_init(&conf->servers->lock, NULL);
     conf->servers->requests = calloc(MAX_REQUESTS, sizeof(struct request));
     if (!conf->servers->requests)
@@ -563,46 +679,48 @@ int tlsverifycert(SSL *ssl, struct clsrvconf *conf) {
        debug(DBG_ERR, "tlsverifycert: failed to obtain certificate");
        return 0;
     }
-    
-    if (inet_pton(AF_INET, conf->host, &addr))
-       type = AF_INET;
-    else if (inet_pton(AF_INET6, conf->host, &addr))
-       type = AF_INET6;
 
-    r = type ? subjectaltnameaddr(cert, type, &addr) : subjectaltnameregexp(cert, GEN_DNS, conf->host, NULL);
-    if (r) {
-       if (r < 0) {
-           X509_free(cert);
-           debug(DBG_DBG, "tlsverifycert: No subjectaltname matching %s %s", type ? "address" : "host", conf->host);
-           return 0;
-       }
-       debug(DBG_DBG, "tlsverifycert: Found subjectaltname matching %s %s", type ? "address" : "host", conf->host);
-    } else {
-       nm = X509_get_subject_name(cert);
-       loc = -1;
-       for (;;) {
-           loc = X509_NAME_get_index_by_NID(nm, NID_commonName, loc);
-           if (loc == -1)
-               break;
-           e = X509_NAME_get_entry(nm, loc);
-           s = X509_NAME_ENTRY_get_data(e);
-           v = (char *) ASN1_STRING_data(s);
-           l = ASN1_STRING_length(s);
-           if (l < 0)
-               continue;
+    if (conf->prefixlen == 255) {
+       if (inet_pton(AF_INET, conf->host, &addr))
+           type = AF_INET;
+       else if (inet_pton(AF_INET6, conf->host, &addr))
+           type = AF_INET6;
+
+       r = type ? subjectaltnameaddr(cert, type, &addr) : subjectaltnameregexp(cert, GEN_DNS, conf->host, NULL);
+       if (r) {
+           if (r < 0) {
+               X509_free(cert);
+               debug(DBG_DBG, "tlsverifycert: No subjectaltname matching %s %s", type ? "address" : "host", conf->host);
+               return 0;
+           }
+           debug(DBG_DBG, "tlsverifycert: Found subjectaltname matching %s %s", type ? "address" : "host", conf->host);
+       } else {
+           nm = X509_get_subject_name(cert);
+           loc = -1;
+           for (;;) {
+               loc = X509_NAME_get_index_by_NID(nm, NID_commonName, loc);
+               if (loc == -1)
+                   break;
+               e = X509_NAME_get_entry(nm, loc);
+               s = X509_NAME_ENTRY_get_data(e);
+               v = (char *) ASN1_STRING_data(s);
+               l = ASN1_STRING_length(s);
+               if (l < 0)
+                   continue;
 #ifdef DEBUG
-           printfchars(NULL, "cn", NULL, v, l);
+               printfchars(NULL, "cn", NULL, v, l);
 #endif     
-           if (l == strlen(conf->host) && !strncasecmp(conf->host, v, l)) {
-               r = 1;
-               debug(DBG_DBG, "tlsverifycert: Found cn matching host %s", conf->host);
-               break;
+               if (l == strlen(conf->host) && !strncasecmp(conf->host, v, l)) {
+                   r = 1;
+                   debug(DBG_DBG, "tlsverifycert: Found cn matching host %s", conf->host);
+                   break;
+               }
+           }
+           if (!r) {
+               X509_free(cert);
+               debug(DBG_ERR, "tlsverifycert: cn not matching host %s", conf->host);
+               return 0;
            }
-       }
-       if (!r) {
-           X509_free(cert);
-           debug(DBG_ERR, "tlsverifycert: cn not matching host %s", conf->host);
-           return 0;
        }
     }
     if (conf->certuriregex) {
@@ -652,8 +770,8 @@ void tlsconnect(struct server *server, struct timeval *when, char *text) {
        debug(DBG_WARN, "tlsconnect: trying to open TLS connection to %s port %s", server->conf->host, server->conf->port);
        if (server->sock >= 0)
            close(server->sock);
-       if ((server->sock = connecttoserver(server->conf->addrinfo)) < 0) {
-           debug(DBG_ERR, "tlsconnect: connecttoserver failed");
+       if ((server->sock = connecttcp(server->conf->addrinfo)) < 0) {
+           debug(DBG_ERR, "tlsconnect: connecttcp failed");
            continue;
        }
        
@@ -722,11 +840,12 @@ int clientradput(struct server *server, unsigned char *rad) {
     size_t len;
     unsigned long error;
     struct timeval lastconnecttry;
+    struct clsrvconf *conf = server->conf;
     
     len = RADLEN(rad);
-    if (server->conf->type == 'U') {
-       if (send(server->sock, rad, len, 0) >= 0) {
-           debug(DBG_DBG, "clienradput: sent UDP of length %d to %s port %s", len, server->conf->host, server->conf->port);
+    if (conf->type == 'U') {
+       if (sendto(server->sock, rad, len, 0, conf->addrinfo->ai_addr, conf->addrinfo->ai_addrlen) >= 0) {
+           debug(DBG_DBG, "clienradput: sent UDP of length %d to %s port %s", len, conf->host, conf->port);
            return 1;
        }
        debug(DBG_WARN, "clientradput: send failed");
@@ -742,8 +861,7 @@ int clientradput(struct server *server, unsigned char *rad) {
     }
 
     server->connectionok = 1;
-    debug(DBG_DBG, "clientradput: Sent %d bytes, Radius packet of length %d to TLS peer %s",
-          cnt, len, server->conf->host);
+    debug(DBG_DBG, "clientradput: Sent %d bytes, Radius packet of length %d to TLS peer %s", cnt, len, conf->host);
     return 1;
 }
 
@@ -1256,11 +1374,47 @@ int msmppe(unsigned char *attrs, int length, uint8_t type, char *attrtxt, struct
     return 1;
 }
 
-int rewriteattr(struct request *rq, char *in) {
+/* returns a pointer to the resized attribute value */
+uint8_t *resizeattr(uint8_t **buf, uint8_t newvallen, uint8_t type) {
+    uint8_t *attrs, *attr, vallen;
+    uint16_t len;
+    unsigned char *new;
+    
+    len = RADLEN(*buf) - 20;
+    attrs = *buf + 20;
+
+    attr = attrget(attrs, len, type);
+    if (!attr)
+       return NULL;
+    
+    vallen = ATTRVALLEN(attr);
+    if (vallen == newvallen)
+       return attr + 2;
+
+    len += newvallen - vallen;
+    if (newvallen > vallen) {
+       new = realloc(*buf, len);
+       if (!new) {
+           debug(DBG_ERR, "resizeattr: malloc failed");
+           return NULL;
+       }
+       if (new != *buf) {
+           attr += new - *buf;
+           attrs = new + 20;
+           *buf = new;
+       }
+    }
+    memmove(attr + 2 + newvallen, attr + 2 + vallen, len - (attr - attrs + newvallen));
+    attr[1] = newvallen + 2;
+    ((uint16_t *)*buf)[1] = htons(len + 20);
+    return attr + 2;
+}
+               
+int rewriteusername(struct request *rq, char *in) {
     size_t nmatch = 10, reslen = 0, start = 0;
     regmatch_t pmatch[10], *pfield;
     int i;
-    char result[1024];
+    unsigned char *result;
     char *out = rq->from->conf->rewriteattrreplacement;
     
     if (regexec(rq->from->conf->rewriteattrregex, in, nmatch, pmatch, 0)) {
@@ -1276,6 +1430,24 @@ int rewriteattr(struct request *rq, char *in) {
        if (out[i] == '\\' && out[i + 1] >= '1' && out[i + 1] <= '9') {
            pfield = &pmatch[out[i + 1] - '0'];
            if (pfield->rm_so >= 0) {
+               reslen += i - start + pfield->rm_eo - pfield->rm_so;
+               start = i + 2;
+           }
+           i++;
+       }
+    }
+    reslen += i - start;
+
+    result = resizeattr(&rq->buf, reslen, RAD_Attr_User_Name);
+    if (!result)
+       return 0;
+    
+    start = 0;
+    reslen = 0;
+    for (i = start; out[i]; i++) {
+       if (out[i] == '\\' && out[i + 1] >= '1' && out[i + 1] <= '9') {
+           pfield = &pmatch[out[i + 1] - '0'];
+           if (pfield->rm_so >= 0) {
                memcpy(result + reslen, out + start, i - start);
                reslen += i - start;
                memcpy(result + reslen, in + pfield->rm_so, pfield->rm_eo - pfield->rm_so);
@@ -1285,12 +1457,14 @@ int rewriteattr(struct request *rq, char *in) {
            i++;
        }
     }
-               
-    memcpy(result + reslen, out + start, i + 1 - start);
-    debug(DBG_DBG, "rewriteattr: username matching, %s would have rewritten to %s", in, result);
+
+    memcpy(result + reslen, out + start, i - start);
+    reslen += i - start;
+    memcpy(in, result, reslen);
+    in[reslen] = '\0';
     return 1;
 }
-                
+
 void acclog(unsigned char *attrs, int length, char *host) {
     unsigned char *attr;
     char username[256];
@@ -1385,14 +1559,13 @@ void radsrv(struct request *rq) {
     uint16_t len;
     struct server *to = NULL;
     char username[256];
-    unsigned char *buf, newauth[16];
+    unsigned char newauth[16];
     struct realm *realm = NULL;
     
-    buf = rq->buf;
-    code = *(uint8_t *)buf;
-    id = *(uint8_t *)(buf + 1);
-    len = RADLEN(buf);
-    auth = (uint8_t *)(buf + 4);
+    code = *(uint8_t *)rq->buf;
+    id = *(uint8_t *)(rq->buf + 1);
+    len = RADLEN(rq->buf);
+    auth = (uint8_t *)(rq->buf + 4);
 
     debug(DBG_DBG, "radsrv: code %d, id %d, length %d", code, id, len);
     
@@ -1403,7 +1576,7 @@ void radsrv(struct request *rq) {
     }
 
     len -= 20;
-    attrs = buf + 20;
+    attrs = rq->buf + 20;
 
     if (!attrvalidate(attrs, len)) {
        debug(DBG_WARN, "radsrv: attribute validation failed, ignoring packet");
@@ -1411,59 +1584,63 @@ void radsrv(struct request *rq) {
        return;
     }
 
-    if (code == RAD_Access_Request) {
-       attr = attrget(attrs, len, RAD_Attr_User_Name);
-       if (!attr) {
-           debug(DBG_WARN, "radsrv: ignoring request, no username attribute");
-           freerqdata(rq);
-           return;
+    attr = attrget(attrs, len, RAD_Attr_Message_Authenticator);
+    if (attr && (ATTRVALLEN(attr) != 16 || !checkmessageauth(rq->buf, ATTRVAL(attr), rq->from->conf->secret))) {
+       debug(DBG_WARN, "radsrv: message authentication failed");
+       freerqdata(rq);
+       return;
+    }
+
+    if (code != RAD_Access_Request) {
+       switch (code) {
+       case RAD_Accounting_Request:
+           acclog(attrs, len, rq->from->conf->host);
+           respondaccounting(rq);
+           break;
+       case RAD_Status_Server:
+           respondstatusserver(rq);
+           break;
        }
-       memcpy(username, ATTRVAL(attr), ATTRVALLEN(attr));
-       username[ATTRVALLEN(attr)] = '\0';
+       freerqdata(rq);
+       return;
+    }
 
-       if (rq->from->conf->rewriteattrregex)
-           if (!rewriteattr(rq, username)) {
-               debug(DBG_WARN, "radsrv: username malloc failed, ignoring request");
-               freerqdata(rq);
-               return;
-           }
+    /* code == RAD_Access_Request */
+    attr = attrget(attrs, len, RAD_Attr_User_Name);
+    if (!attr) {
+       debug(DBG_WARN, "radsrv: ignoring request, no username attribute");
+       freerqdata(rq);
+       return;
+    }
+    memcpy(username, ATTRVAL(attr), ATTRVALLEN(attr));
+    username[ATTRVALLEN(attr)] = '\0';
 
-       if (rq->origusername) 
-           debug(DBG_DBG, "Access Request with username: %s (originally %s)", username, rq->origusername);
-       else
-           debug(DBG_DBG, "Access Request with username: %s", username);
-       
-       realm = id2realm(username, strlen(username));
-       if (!realm) {
-           debug(DBG_INFO, "radsrv: ignoring request, don't know where to send it");
+    if (rq->from->conf->rewriteattrregex) {
+       if (!rewriteusername(rq, username)) {
+           debug(DBG_WARN, "radsrv: username malloc failed, ignoring request");
            freerqdata(rq);
            return;
        }
-       
-       to = realm2server(realm);
-       if (to && rqinqueue(to, rq->from, id)) {
-           debug(DBG_INFO, "radsrv: already got request from host %s with id %d, ignoring", rq->from->conf->host, id);
-           freerqdata(rq);
-           return;
-       }
-    }
-    
-    attr = attrget(attrs, len, RAD_Attr_Message_Authenticator);
-    if (attr && (ATTRVALLEN(attr) != 16 || !checkmessageauth(buf, ATTRVAL(attr), rq->from->conf->secret))) {
-       debug(DBG_WARN, "radsrv: message authentication failed");
-       freerqdata(rq);
-       return;
+       len = RADLEN(rq->buf) - 20;
+       auth = (uint8_t *)(rq->buf + 4);
+       attrs = rq->buf + 20;
     }
-    
-    if (code == RAD_Accounting_Request) {
-       acclog(attrs, len, rq->from->conf->host);
-       respondaccounting(rq);
+
+    if (rq->origusername)
+       debug(DBG_DBG, "Access Request with username: %s (originally %s)", username, rq->origusername);
+    else
+       debug(DBG_DBG, "Access Request with username: %s", username);
+       
+    realm = id2realm(username, strlen(username));
+    if (!realm) {
+       debug(DBG_INFO, "radsrv: ignoring request, don't know where to send it");
        freerqdata(rq);
        return;
     }
-
-    if (code == RAD_Status_Server) {
-       respondstatusserver(rq);
+       
+    to = realm2server(realm);
+    if (to && rqinqueue(to, rq->from, id)) {
+       debug(DBG_INFO, "radsrv: already got request from host %s with id %d, ignoring", rq->from->conf->host, id);
        freerqdata(rq);
        return;
     }
@@ -1511,184 +1688,211 @@ void radsrv(struct request *rq) {
     sendrq(to, rq);
 }
 
-void *clientrd(void *arg) {
-    struct server *server = (struct server *)arg;
+int replyh(struct server *server, unsigned char *buf) {
     struct client *from;
     struct request *rq;
     int i, len, sublen;
-    unsigned char *buf, *messageauth, *subattrs, *attrs, *attr;
+    unsigned char *messageauth, *subattrs, *attrs, *attr, *username;
     struct sockaddr_storage fromsa;
-    struct timeval lastconnecttry;
     char tmp[256];
     
-    for (;;) {
-       lastconnecttry = server->lastconnecttry;
-       buf = (server->conf->type == 'U' ? radudpget(server->sock, NULL, &server, NULL) : radtlsget(server->ssl));
-       if (!buf && server->conf->type == 'T') {
-           tlsconnect(server, &lastconnecttry, "clientrd");
-           continue;
-       }
-    
-       server->connectionok = 1;
-       server->loststatsrv = 0;
+    server->connectionok = 1;
+    server->loststatsrv = 0;
        
-       i = buf[1]; /* i is the id */
+    i = buf[1]; /* i is the id */
 
-       switch (*buf) {
-       case RAD_Access_Accept:
-           debug(DBG_DBG, "got Access Accept with id %d", i);
-           break;
-       case RAD_Access_Reject:
-           debug(DBG_DBG, "got Access Reject with id %d", i);
-           break;
-       case RAD_Access_Challenge:
-           debug(DBG_DBG, "got Access Challenge with id %d", i);
-           break;
-       default:
-           free(buf);
-           debug(DBG_INFO, "clientrd: discarding, only accept access accept, access reject and access challenge messages");
-           continue;
-       }
+    switch (*buf) {
+    case RAD_Access_Accept:
+       debug(DBG_DBG, "got Access Accept with id %d", i);
+       break;
+    case RAD_Access_Reject:
+       debug(DBG_DBG, "got Access Reject with id %d", i);
+       break;
+    case RAD_Access_Challenge:
+       debug(DBG_DBG, "got Access Challenge with id %d", i);
+       break;
+    default:
+       debug(DBG_INFO, "replyh: discarding, only accept access accept, access reject and access challenge messages");
+       return 0;
+    }
 
-       rq = server->requests + i;
+    rq = server->requests + i;
        
-       pthread_mutex_lock(&server->newrq_mutex);
-       if (!rq->buf || !rq->tries) {
-           pthread_mutex_unlock(&server->newrq_mutex);
-           free(buf);
-           debug(DBG_INFO, "clientrd: no matching request sent with this id, ignoring");
-           continue;
-       }
+    pthread_mutex_lock(&server->newrq_mutex);
+    if (!rq->buf || !rq->tries) {
+       pthread_mutex_unlock(&server->newrq_mutex);
+       debug(DBG_INFO, "replyh: no matching request sent with this id, ignoring reply");
+       return 0;
+    }
 
-       if (rq->received) {
-           pthread_mutex_unlock(&server->newrq_mutex);
-           free(buf);
-           debug(DBG_INFO, "clientrd: already received, ignoring");
-           continue;
-       }
+    if (rq->received) {
+       pthread_mutex_unlock(&server->newrq_mutex);
+       debug(DBG_INFO, "replyh: already received, ignoring reply");
+       return 0;
+    }
        
-       if (!validauth(buf, rq->buf + 4, (unsigned char *)server->conf->secret)) {
-           pthread_mutex_unlock(&server->newrq_mutex);
-           free(buf);
-           debug(DBG_WARN, "clientrd: invalid auth, ignoring");
-           continue;
-       }
+    if (!validauth(buf, rq->buf + 4, (unsigned char *)server->conf->secret)) {
+       pthread_mutex_unlock(&server->newrq_mutex);
+       debug(DBG_WARN, "replyh: invalid auth, ignoring reply");
+       return 0;
+    }
        
-       from = rq->from;
-       len = RADLEN(buf) - 20;
-       attrs = buf + 20;
+    from = rq->from;
+    len = RADLEN(buf) - 20;
+    attrs = buf + 20;
 
-       if (!attrvalidate(attrs, len)) {
-           pthread_mutex_unlock(&server->newrq_mutex);
-           free(buf);
-           debug(DBG_WARN, "clientrd: attribute validation failed, ignoring packet");
-           continue;
-       }
+    if (!attrvalidate(attrs, len)) {
+       pthread_mutex_unlock(&server->newrq_mutex);
+       debug(DBG_WARN, "replyh: attribute validation failed, ignoring reply");
+       return 0;
+    }
        
-       /* Message Authenticator */
-       messageauth = attrget(attrs, len, RAD_Attr_Message_Authenticator);
-       if (messageauth) {
-           if (ATTRVALLEN(messageauth) != 16) {
-               pthread_mutex_unlock(&server->newrq_mutex);
-               free(buf);
-               debug(DBG_WARN, "clientrd: illegal message auth attribute length, ignoring packet");
-               continue;
-           }
-           memcpy(tmp, buf + 4, 16);
-           memcpy(buf + 4, rq->buf + 4, 16);
-           if (!checkmessageauth(buf, ATTRVAL(messageauth), server->conf->secret)) {
-               pthread_mutex_unlock(&server->newrq_mutex);
-               free(buf);
-               debug(DBG_WARN, "clientrd: message authentication failed");
-               continue;
-           }
-           memcpy(buf + 4, tmp, 16);
-           debug(DBG_DBG, "clientrd: message auth ok");
+    /* Message Authenticator */
+    messageauth = attrget(attrs, len, RAD_Attr_Message_Authenticator);
+    if (messageauth) {
+       if (ATTRVALLEN(messageauth) != 16) {
+           pthread_mutex_unlock(&server->newrq_mutex);
+           debug(DBG_WARN, "replyh: illegal message auth attribute length, ignoring reply");
+           return 0;
        }
-       
-       if (*rq->buf == RAD_Status_Server) {
-           rq->received = 1;
+       memcpy(tmp, buf + 4, 16);
+       memcpy(buf + 4, rq->buf + 4, 16);
+       if (!checkmessageauth(buf, ATTRVAL(messageauth), server->conf->secret)) {
            pthread_mutex_unlock(&server->newrq_mutex);
-           free(buf);
-           debug(DBG_INFO, "clientrd: got status server response from %s", server->conf->host);
-           continue;
+           debug(DBG_WARN, "replyh: message authentication failed, ignoring reply");
+           return 0;
        }
+       memcpy(buf + 4, tmp, 16);
+       debug(DBG_DBG, "replyh: message auth ok");
+    }
+       
+    if (*rq->buf == RAD_Status_Server) {
+       rq->received = 1;
+       pthread_mutex_unlock(&server->newrq_mutex);
+       debug(DBG_INFO, "replyh: got status server response from %s", server->conf->host);
+       return 0;
+    }
 
-       /* MS MPPE */
-       for (attr = attrs; (attr = attrget(attr, len - (attr - attrs), RAD_Attr_Vendor_Specific)); attr += ATTRLEN(attr)) {
-           if (ATTRVALLEN(attr) <= 4)
-               break;
-           
-           if (attr[2] != 0 || attr[3] != 0 || attr[4] != 1 || attr[5] != 55)  /* 311 == MS */
-               continue;
+    /* MS MPPE */
+    for (attr = attrs; (attr = attrget(attr, len - (attr - attrs), RAD_Attr_Vendor_Specific)); attr += ATTRLEN(attr)) {
+       if (ATTRVALLEN(attr) <= 4)
+           break;
            
-           sublen = ATTRVALLEN(attr) - 4;
-           subattrs = ATTRVAL(attr) + 4;  
-           if (!attrvalidate(subattrs, sublen) ||
-               !msmppe(subattrs, sublen, RAD_VS_ATTR_MS_MPPE_Send_Key, "MS MPPE Send Key",
-                       rq, server->conf->secret, from->conf->secret) ||
-               !msmppe(subattrs, sublen, RAD_VS_ATTR_MS_MPPE_Recv_Key, "MS MPPE Recv Key",
-                       rq, server->conf->secret, from->conf->secret))
-               break;
-       }
-       if (attr) {
-           pthread_mutex_unlock(&server->newrq_mutex);
-           free(buf);
-           debug(DBG_WARN, "clientrd: MS attribute handling failed, ignoring packet");
+       if (attr[2] != 0 || attr[3] != 0 || attr[4] != 1 || attr[5] != 55)  /* 311 == MS */
            continue;
-       }
+           
+       sublen = ATTRVALLEN(attr) - 4;
+       subattrs = ATTRVAL(attr) + 4;  
+       if (!attrvalidate(subattrs, sublen) ||
+           !msmppe(subattrs, sublen, RAD_VS_ATTR_MS_MPPE_Send_Key, "MS MPPE Send Key",
+                   rq, server->conf->secret, from->conf->secret) ||
+           !msmppe(subattrs, sublen, RAD_VS_ATTR_MS_MPPE_Recv_Key, "MS MPPE Recv Key",
+                   rq, server->conf->secret, from->conf->secret))
+           break;
+    }
+    if (attr) {
+       pthread_mutex_unlock(&server->newrq_mutex);
+       debug(DBG_WARN, "replyh: MS attribute handling failed, ignoring reply");
+       return 0;
+    }
        
-       if (*buf == RAD_Access_Accept || *buf == RAD_Access_Reject) {
-           attr = attrget(rq->buf + 20, RADLEN(rq->buf) - 20, RAD_Attr_User_Name);
-           /* we know the attribute exists */
-           memcpy(tmp, ATTRVAL(attr), ATTRVALLEN(attr));
-           tmp[ATTRVALLEN(attr)] = '\0';
-           switch (*buf) {
-           case RAD_Access_Accept:
-               if (rq->origusername)
-                   debug(DBG_INFO, "Access Accept for %s (originally %s) from %s", tmp, rq->origusername, server->conf->host);
-               else
-                   debug(DBG_INFO, "Access Accept for %s from %s", tmp, server->conf->host);
-               break;
-           case RAD_Access_Reject:
-               if (rq->origusername)
-                   debug(DBG_INFO, "Access Reject for %s (originally %s) from %s", tmp, rq->origusername, server->conf->host);
-               else
-                   debug(DBG_INFO, "Access Reject for %s from %s", tmp, server->conf->host);
-               break;
-           }
+    if (*buf == RAD_Access_Accept || *buf == RAD_Access_Reject) {
+       attr = attrget(rq->buf + 20, RADLEN(rq->buf) - 20, RAD_Attr_User_Name);
+       /* we know the attribute exists */
+       memcpy(tmp, ATTRVAL(attr), ATTRVALLEN(attr));
+       tmp[ATTRVALLEN(attr)] = '\0';
+       switch (*buf) {
+       case RAD_Access_Accept:
+           if (rq->origusername)
+               debug(DBG_INFO, "Access Accept for %s (originally %s) from %s", tmp, rq->origusername, server->conf->host);
+           else
+               debug(DBG_INFO, "Access Accept for %s from %s", tmp, server->conf->host);
+           break;
+       case RAD_Access_Reject:
+           if (rq->origusername)
+               debug(DBG_INFO, "Access Reject for %s (originally %s) from %s", tmp, rq->origusername, server->conf->host);
+           else
+               debug(DBG_INFO, "Access Reject for %s from %s", tmp, server->conf->host);
+           break;
        }
+    }
        
-       /* once we set received = 1, rq may be reused */
-       buf[1] = (char)rq->origid;
-       memcpy(buf + 4, rq->origauth, 16);
+    buf[1] = (char)rq->origid;
+    memcpy(buf + 4, rq->origauth, 16);
 #ifdef DEBUG   
-       printfchars(NULL, "origauth/buf+4", "%02x ", buf + 4, 16);
+    printfchars(NULL, "origauth/buf+4", "%02x ", buf + 4, 16);
 #endif
+
+    if (rq->origusername) {
+       username = resizeattr(&buf, strlen(rq->origusername), RAD_Attr_User_Name);
+       if (!username) {
+           pthread_mutex_unlock(&server->newrq_mutex);
+           debug(DBG_WARN, "replyh: malloc failed, ignoring reply");
+           return 0;
+       }
+       memcpy(username, rq->origusername, strlen(rq->origusername));
+       len = RADLEN(buf) - 20;
+       attrs = buf + 20;
+       if (messageauth)
+           messageauth = attrget(attrs, len, RAD_Attr_Message_Authenticator);
+    }
        
-       if (messageauth) {
-           if (!createmessageauth(buf, ATTRVAL(messageauth), from->conf->secret)) {
-               pthread_mutex_unlock(&server->newrq_mutex);
-               free(buf);
-               continue;
-           }
-           debug(DBG_DBG, "clientrd: computed messageauthattr");
+    if (messageauth) {
+       if (!createmessageauth(buf, ATTRVAL(messageauth), from->conf->secret)) {
+           pthread_mutex_unlock(&server->newrq_mutex);
+           debug(DBG_WARN, "replyh: failed to create authenticator, malloc failed?, ignoring reply");
+           return 0;
        }
+       debug(DBG_DBG, "replyh: computed messageauthattr");
+    }
 
-       if (from->conf->type == 'U')
-           fromsa = rq->fromsa;
-       rq->received = 1;
-       pthread_mutex_unlock(&server->newrq_mutex);
+    if (from->conf->type == 'U')
+       fromsa = rq->fromsa;
+    /* once we set received = 1, rq may be reused */
+    rq->received = 1;
+    pthread_mutex_unlock(&server->newrq_mutex);
+
+    debug(DBG_DBG, "replyh: giving packet back to where it came from");
+    sendreply(from, buf, from->conf->type == 'U' ? &fromsa : NULL);
+    return 1;
+}
+
+void *udpclientrd(void *arg) {
+    struct server *server;
+    unsigned char *buf;
+    int *s = (int *)arg;
+    
+    for (;;) {
+       server = NULL;
+       buf = radudpget(*s, NULL, &server, NULL);
+       if (!replyh(server, buf))
+           free(buf);
+    }
+}
+
+void *tlsclientrd(void *arg) {
+    struct server *server = (struct server *)arg;
+    unsigned char *buf;
+    struct timeval lastconnecttry;
+    
+    for (;;) {
+       /* yes, lastconnecttry is really necessary */
+       lastconnecttry = server->lastconnecttry;
+       buf = radtlsget(server->ssl);
+       if (!buf) {
+           tlsconnect(server, &lastconnecttry, "clientrd");
+           continue;
+       }
 
-       debug(DBG_DBG, "clientrd: giving packet back to where it came from");
-       sendreply(from, buf, from->conf->type == 'U' ? &fromsa : NULL);
+       if (!replyh(server, buf))
+           free(buf);
     }
 }
 
 void *clientwr(void *arg) {
     struct server *server = (struct server *)arg;
     struct request *rq;
-    pthread_t clientrdth;
+    pthread_t tlsclientrdth;
     int i;
     uint8_t rnd;
     struct timeval now, lastsend;
@@ -1709,16 +1913,14 @@ void *clientwr(void *arg) {
     }
     
     if (server->conf->type == 'U') {
-       if ((server->sock = connecttoserver(server->conf->addrinfo)) < 0)
-           debugx(1, DBG_ERR, "clientwr: connecttoserver failed");
-    } else
+       server->connectionok = 1;
+    } else {
        tlsconnect(server, NULL, "new client");
+       server->connectionok = 1;
+       if (pthread_create(&tlsclientrdth, NULL, tlsclientrd, (void *)server))
+           debugx(1, DBG_ERR, "clientwr: pthread_create failed");
+    }
     
-    server->connectionok = 1;
-    
-    if (pthread_create(&clientrdth, NULL, clientrd, (void *)server))
-       debugx(1, DBG_ERR, "clientwr: pthread_create failed");
-
     for (;;) {
        pthread_mutex_lock(&server->newrq_mutex);
        if (!server->newrq) {
@@ -1846,13 +2048,16 @@ void *udpserverwr(void *arg) {
 void *udpserverrd(void *arg) {
     struct request rq;
     pthread_t udpserverwrth;
+    struct clsrvconf *listenres;
 
-    if ((udp_server_sock = bindtoaddr(udp_server_listen->addrinfo)) < 0)
+    listenres = resolve_hostport('U', options.listenudp, DEFAULT_UDP_PORT);
+    if ((udp_server_sock = bindtoaddr(listenres->addrinfo, AF_UNSPEC, 1, 0)) < 0)
        debugx(1, DBG_ERR, "udpserverrd: socket/bind failed");
 
     debug(DBG_WARN, "udpserverrd: listening for UDP on %s:%s",
-         udp_server_listen->host ? udp_server_listen->host : "*", udp_server_listen->port);
-
+         listenres->host ? listenres->host : "*", listenres->port);
+    free(listenres);
+    
     if (pthread_create(&udpserverwrth, NULL, udpserverwr, NULL))
        debugx(1, DBG_ERR, "pthread_create failed");
     
@@ -1865,13 +2070,16 @@ void *udpserverrd(void *arg) {
 
 void *udpaccserverrd(void *arg) {
     struct request rq;
-
-    if ((udp_accserver_sock = bindtoaddr(udp_accserver_listen->addrinfo)) < 0)
+    struct clsrvconf *listenres;
+    
+    listenres = resolve_hostport('U', options.listenaccudp, DEFAULT_UDP_PORT);
+    if ((udp_accserver_sock = bindtoaddr(listenres->addrinfo, AF_UNSPEC, 1, 0)) < 0)
        debugx(1, DBG_ERR, "udpserverrd: socket/bind failed");
 
     debug(DBG_WARN, "udpaccserverrd: listening for UDP on %s:%s",
-         udp_accserver_listen->host ? udp_accserver_listen->host : "*", udp_accserver_listen->port);
-
+         listenres->host ? listenres->host : "*", listenres->port);
+    free(listenres);
+    
     for (;;) {
        memset(&rq, 0, sizeof(struct request));
        rq.buf = radudpget(udp_accserver_sock, &rq.from, NULL, &rq.fromsa);
@@ -1980,14 +2188,16 @@ int tlslistener() {
     size_t fromlen = sizeof(from);
     struct clsrvconf *conf;
     struct client *client;
+    struct clsrvconf *listenres;
     
-    if ((s = bindtoaddr(tcp_server_listen->addrinfo)) < 0)
+    listenres = resolve_hostport('T', options.listentcp, DEFAULT_TLS_PORT);
+    if ((s = bindtoaddr(listenres->addrinfo, AF_UNSPEC, 1, 0)) < 0)
         debugx(1, DBG_ERR, "tlslistener: socket/bind failed");
     
     listen(s, 0);
-    debug(DBG_WARN, "listening for incoming TCP on %s:%s",
-         tcp_server_listen->host ? tcp_server_listen->host : "*", tcp_server_listen->port);
-
+    debug(DBG_WARN, "listening for incoming TCP on %s:%s", listenres->host ? listenres->host : "*", listenres->port);
+    free(listenres);
+    
     for (;;) {
        snew = accept(s, (struct sockaddr *)&from, &fromlen);
        if (snew < 0) {
@@ -2030,6 +2240,7 @@ int tlslistener() {
 void tlsadd(char *value, char *cacertfile, char *cacertpath, char *certfile, char *certkeyfile, char *certkeypwd) {
     struct tls *new;
     SSL_CTX *ctx;
+    STACK_OF(X509_NAME) *calist;
     int i;
     unsigned long error;
     
@@ -2072,6 +2283,24 @@ void tlsadd(char *value, char *cacertfile, char *cacertpath, char *certfile, cha
            debug(DBG_ERR, "SSL: %s", ERR_error_string(error, NULL));
        debugx(1, DBG_ERR, "Error initialising SSL/TLS in TLS context %s", value);
     }
+
+    calist = cacertfile ? SSL_load_client_CA_file(cacertfile) : NULL;
+    if (!cacertfile || calist) {
+       if (cacertpath) {
+           if (!calist)
+               calist = sk_X509_NAME_new_null();
+           if (!SSL_add_dir_cert_subjects_to_stack(calist, cacertpath)) {
+               sk_X509_NAME_free(calist);
+               calist = NULL;
+           }
+       }
+    }
+    if (!calist) {
+       while ((error = ERR_get_error()))
+           debug(DBG_ERR, "SSL: %s", ERR_error_string(error, NULL));
+       debugx(1, DBG_ERR, "Error adding CA subjects in TLS context %s", value);
+    }
+    SSL_CTX_set_client_CA_list(ctx, calist);
     
     SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, verify_cb);
     SSL_CTX_set_verify_depth(ctx, MAX_CERT_DEPTH + 1);
@@ -2202,260 +2431,29 @@ void addrealm(char *value, char **servers, char *message) {
     debug(DBG_DBG, "addrealm: added realm %s", value);
 }
 
-char *parsehostport(char *s, struct clsrvconf *conf) {
-    char *p, *field;
-    int ipv6 = 0;
-
-    p = s;
-    /* allow literal addresses and port, e.g. [2001:db8::1]:1812 */
-    if (*p == '[') {
-       p++;
-       field = p;
-       for (; *p && *p != ']' && *p != ' ' && *p != '\t' && *p != '\n'; p++);
-       if (*p != ']')
-           debugx(1, DBG_ERR, "no ] matching initial [");
-       ipv6 = 1;
-    } else {
-       field = p;
-       for (; *p && *p != ':' && *p != ' ' && *p != '\t' && *p != '\n'; p++);
-    }
-    if (field == p)
-       debugx(1, DBG_ERR, "missing host/address");
-
-    conf->host = stringcopy(field, p - field);
-    if (ipv6) {
-       p++;
-       if (*p && *p != ':' && *p != ' ' && *p != '\t' && *p != '\n')
-           debugx(1, DBG_ERR, "unexpected character after ]");
-    }
-    if (*p == ':') {
-           /* port number or service name is specified */;
-           field = ++p;
-           for (; *p && *p != ' ' && *p != '\t' && *p != '\n'; p++);
-           if (field == p)
-               debugx(1, DBG_ERR, "syntax error, : but no following port");
-           conf->port = stringcopy(field, p - field);
-    } else
-       conf->port = stringcopy(conf->type == 'U' ? DEFAULT_UDP_PORT : DEFAULT_TLS_PORT, 0);
-    return p;
-}
-
-FILE *openconfigfile(const char *filename) {
+struct gconffile *openconfigfile(const char *filename) {
     FILE *f;
     char pathname[100], *base = NULL;
+    struct gconffile *cf = NULL;
     
-    f = fopen(filename, "r");
+    f = pushgconffile(&cf, filename);
     if (f) {
        debug(DBG_DBG, "reading config file %s", filename);
-       return f;
+       return cf;
     }
 
     if (strlen(filename) + 1 <= sizeof(pathname)) {
        /* basename() might modify the string */
        strcpy(pathname, filename);
        base = basename(pathname);
-       f = fopen(base, "r");
+       f = pushgconffile(&cf, base);
     }
 
     if (!f)
        debugx(1, DBG_ERR, "could not read config file %s nor %s\n%s", filename, base, strerror(errno));
     
     debug(DBG_DBG, "reading config file %s", base);
-    return f;
-}
-
-struct clsrvconf *server_create(char type, char *lconf) {
-    struct clsrvconf *conf;
-
-    conf = malloc(sizeof(struct clsrvconf));
-    if (!conf)
-       debugx(1, DBG_ERR, "malloc failed");
-    memset(conf, 0, sizeof(struct clsrvconf));
-    conf->type = type;
-    if (lconf) {
-       parsehostport(lconf, conf);
-       if (!strcmp(conf->host, "*")) {
-           free(conf->host);
-           conf->host = NULL;
-       }
-    } else
-       conf->port = stringcopy(type == 'T' ? DEFAULT_TLS_PORT : DEFAULT_UDP_PORT, 0);
-    if (!resolvepeer(conf, AI_PASSIVE))
-       debugx(1, DBG_ERR, "failed to resolve host %s port %s, exiting", conf->host, conf->port);
-    return conf;
-}
-
-/* returns NULL on error, where to continue parsing if token and ok. E.g. "" will return token with empty string */
-char *strtokenquote(char *s, char **token, char *del, char *quote, char *comment) {
-    char *t = s, *q, *r;
-
-    if (!t || !token || !del)
-       return NULL;
-    while (*t && strchr(del, *t))
-       t++;
-    if (!*t || (comment && strchr(comment, *t))) {
-       *token = NULL;
-       return t + 1; /* needs to be non-NULL, but value doesn't matter */
-    }
-    if (quote && (q = strchr(quote, *t))) {
-       t++;
-       r = t;
-       while (*t && *t != *q)
-           t++;
-       if (!*t || (t[1] && !strchr(del, t[1])))
-           return NULL;
-       *t = '\0';
-       *token = r;
-       return t + 1;
-    }
-    *token = t;
-    t++;
-    while (*t && !strchr(del, *t))
-       t++;
-    *t = '\0';
-    return t + 1;
-}
-
-/* Parses config with following syntax:
- * One of these:
- * option-name value
- * option-name = value
- * Or:
- * option-name value {
- *     option-name [=] value
- *     ...
- * }
- */
-void getgeneralconfig(FILE *f, char *block, ...) {
-    va_list ap;
-    char line[1024];
-    /* initialise lots of stuff to avoid stupid compiler warnings */
-    char *tokens[3], *s, *opt = NULL, *val = NULL, *word, *optval, **str = NULL, ***mstr = NULL;
-    int type = 0, tcount, conftype = 0, n;
-    void (*cbk)(FILE *, char *, char *, char *) = NULL;
-       
-    while (fgets(line, 1024, f)) {
-       s = line;
-       for (tcount = 0; tcount < 3; tcount++) {
-           s = strtokenquote(s, &tokens[tcount], " \t\n", "\"'", tcount ? NULL : "#");
-           if (!s)
-               debugx(1, DBG_ERR, "Syntax error in line starting with: %s", line);
-           if (!tokens[tcount])
-               break;
-       }
-       if (!tcount || **tokens == '#')
-           continue;
-
-       if (**tokens == '}') {
-           if (block)
-               return;
-           debugx(1, DBG_ERR, "configuration error, found } with no matching {");
-       }
-           
-       switch (tcount) {
-       case 2:
-           opt = tokens[0];
-           val = tokens[1];
-           conftype = CONF_STR;
-           break;
-       case 3:
-           if (tokens[1][0] == '=' && tokens[1][1] == '\0') {
-               opt = tokens[0];
-               val = tokens[2];
-               conftype = CONF_STR;
-               break;
-           }
-           if (tokens[2][0] == '{' && tokens[2][1] == '\0') {
-               opt = tokens[0];
-               val = tokens[1];
-               conftype = CONF_CBK;
-               break;
-           }
-           /* fall through */
-       default:
-           if (block)
-               debugx(1, DBG_ERR, "configuration error in block %s, line starting with %s", block, tokens[0]);
-           debugx(1, DBG_ERR, "configuration error, syntax error in line starting with %s", tokens[0]);
-       }
-
-       if (!*val)
-           debugx(1, DBG_ERR, "configuration error, option %s needs a non-empty value", opt);
-       
-       va_start(ap, block);
-       while ((word = va_arg(ap, char *))) {
-           type = va_arg(ap, int);
-           switch (type) {
-           case CONF_STR:
-               str = va_arg(ap, char **);
-               if (!str)
-                   debugx(1, DBG_ERR, "getgeneralconfig: internal parameter error");
-               break;
-           case CONF_MSTR:
-               mstr = va_arg(ap, char ***);
-               if (!mstr)
-                   debugx(1, DBG_ERR, "getgeneralconfig: internal parameter error");
-               break;
-           case CONF_CBK:
-               cbk = va_arg(ap, void (*)(FILE *, char *, char *, char *));
-               break;
-           default:
-               debugx(1, DBG_ERR, "getgeneralconfig: internal parameter error");
-           }
-           if (!strcasecmp(opt, word))
-               break;
-       }
-       va_end(ap);
-       
-       if (!word) {
-           if (block)
-               debugx(1, DBG_ERR, "configuration error in block %s, unknown option %s", block, opt);
-           debugx(1, DBG_ERR, "configuration error, unknown option %s", opt);
-       }
-
-       if (((type == CONF_STR || type == CONF_MSTR) && conftype != CONF_STR) ||
-           (type == CONF_CBK && conftype != CONF_CBK)) {
-           if (block)
-               debugx(1, DBG_ERR, "configuration error in block %s, wrong syntax for option %s", block, opt);
-           debugx(1, DBG_ERR, "configuration error, wrong syntax for option %s", opt);
-       }
-       
-       switch (type) {
-       case CONF_STR:
-           if (block)
-               debug(DBG_DBG, "getgeneralconfig: block %s: %s = %s", block, opt, val);
-           else 
-               debug(DBG_DBG, "getgeneralconfig: %s = %s", opt, val);
-           *str = stringcopy(val, 0);
-           if (!*str)
-               debugx(1, DBG_ERR, "malloc failed");
-           break;
-       case CONF_MSTR:
-           if (block)
-               debug(DBG_DBG, "getgeneralconfig: block %s: %s = %s", block, opt, val);
-           else 
-               debug(DBG_DBG, "getgeneralconfig: %s = %s", opt, val);
-           if (*mstr)
-               for (n = 0; (*mstr)[n]; n++);
-           else
-               n = 0;
-           *mstr = realloc(*mstr, sizeof(char *) * (n + 2));
-           if (!*mstr)
-               debugx(1, DBG_ERR, "malloc failed");
-           (*mstr)[n] = stringcopy(val, 0);
-           (*mstr)[n + 1] = NULL;
-           break;
-       case CONF_CBK:
-           optval = malloc(strlen(opt) + strlen(val) + 2);
-           if (!optval)
-               debugx(1, DBG_ERR, "malloc failed");
-           sprintf(optval, "%s %s", opt, val);
-           cbk(f, optval, opt, val);
-           free(optval);
-           break;
-       default:
-           debugx(1, DBG_ERR, "getgeneralconfig: internal parameter error");
-       }
-    }
+    return cf;
 }
 
 int addmatchcertattr(struct clsrvconf *conf, char *matchcertattr) {
@@ -2497,6 +2495,7 @@ int addrewriteattr(struct clsrvconf *conf, char *rewriteattr) {
     w = strchr(v, '/');
     if (!*w)
        return 0;
+    *w = '\0';
     w++;
     
     conf->rewriteattrregex = malloc(sizeof(regex_t));
@@ -2535,7 +2534,7 @@ void confclient_cb(FILE *f, char *block, char *opt, char *val) {
        debugx(1, DBG_ERR, "malloc failed");
     memset(conf, 0, sizeof(struct clsrvconf));
     
-    getgeneralconfig(f, block,
+    getgenericconfig(f, block,
                     "type", CONF_STR, &type,
                     "host", CONF_STR, &conf->host,
                     "secret", CONF_STR, &conf->secret,
@@ -2595,7 +2594,7 @@ void confserver_cb(FILE *f, char *block, char *opt, char *val) {
        debugx(1, DBG_ERR, "malloc failed");
     memset(conf, 0, sizeof(struct clsrvconf));
     
-    getgeneralconfig(f, block,
+    getgenericconfig(f, block,
                     "type", CONF_STR, &type,
                     "host", CONF_STR, &conf->host,
                     "port", CONF_STR, &conf->port,
@@ -2656,7 +2655,7 @@ void confrealm_cb(FILE *f, char *block, char *opt, char *val) {
     
     debug(DBG_DBG, "confrealm_cb called for %s", block);
     
-    getgeneralconfig(f, block,
+    getgenericconfig(f, block,
                     "server", CONF_MSTR, &servers,
                     "ReplyMessage", CONF_STR, &msg,
                     NULL
@@ -2671,7 +2670,7 @@ void conftls_cb(FILE *f, char *block, char *opt, char *val) {
     
     debug(DBG_DBG, "conftls_cb called for %s", block);
     
-    getgeneralconfig(f, block,
+    getgenericconfig(f, block,
                     "CACertificateFile", CONF_STR, &cacertfile,
                     "CACertificatePath", CONF_STR, &cacertpath,
                     "CertificateFile", CONF_STR, &certfile,
@@ -2691,8 +2690,10 @@ void conftls_cb(FILE *f, char *block, char *opt, char *val) {
 void getmainconfig(const char *configfile) {
     FILE *f;
     char *loglevel = NULL;
+    struct gconffile *cfs;
 
-    f = openconfigfile(configfile);
+    cfs = openconfigfile(configfile);
+    f = cfs->file;
     memset(&options, 0, sizeof(options));
     
     clconfs = list_create();
@@ -2711,10 +2712,12 @@ void getmainconfig(const char *configfile) {
     if (!tlsconfs)
        debugx(1, DBG_ERR, "malloc failed");    
  
-    getgeneralconfig(f, NULL,
+    getgenericconfig(f, NULL,
                     "ListenUDP", CONF_STR, &options.listenudp,
                     "ListenTCP", CONF_STR, &options.listentcp,
                     "ListenAccountingUDP", CONF_STR, &options.listenaccudp,
+                    "SourceUDP", CONF_STR, &options.sourceudp,
+                    "SourceTCP", CONF_STR, &options.sourcetcp,
                     "LogLevel", CONF_STR, &loglevel,
                     "LogDestination", CONF_STR, &options.logdestination,
                     "Client", CONF_CBK, confclient_cb,
@@ -2723,7 +2726,7 @@ void getmainconfig(const char *configfile) {
                     "TLS", CONF_CBK, conftls_cb,
                     NULL
                     );
-    fclose(f);
+    popgconffile(&cfs);
     tlsfree();
     
     if (loglevel) {
@@ -2734,10 +2737,10 @@ void getmainconfig(const char *configfile) {
     }
 }
 
-void getargs(int argc, char **argv, uint8_t *foreground, uint8_t *loglevel, char **configfile) {
+void getargs(int argc, char **argv, uint8_t *foreground, uint8_t *pretend, uint8_t *loglevel, char **configfile) {
     int c;
 
-    while ((c = getopt(argc, argv, "c:d:fv")) != -1) {
+    while ((c = getopt(argc, argv, "c:d:fpv")) != -1) {
        switch (c) {
        case 'c':
            *configfile = optarg;
@@ -2750,6 +2753,9 @@ void getargs(int argc, char **argv, uint8_t *foreground, uint8_t *loglevel, char
        case 'f':
            *foreground = 1;
            break;
+       case 'p':
+           *pretend = 1;
+           break;
        case 'v':
                debugx(0, DBG_ERR, "radsecproxy revision $Rev$");
        default:
@@ -2760,19 +2766,19 @@ void getargs(int argc, char **argv, uint8_t *foreground, uint8_t *loglevel, char
        return;
 
  usage:
-    debug(DBG_ERR, "Usage:\n%s [ -c configfile ] [ -d debuglevel ] [ -f ] [ -v ]", argv[0]);
+    debug(DBG_ERR, "Usage:\n%s [ -c configfile ] [ -d debuglevel ] [ -f ] [ -p ] [ -v ]", argv[0]);
     exit(1);
 }
 
 int main(int argc, char **argv) {
-    pthread_t udpserverth, udpaccserverth;
+    pthread_t udpserverth, udpaccserverth, udpclient4rdth, udpclient6rdth;
     struct list_node *entry;
-    uint8_t foreground = 0, loglevel = 0;
+    uint8_t foreground = 0, pretend = 0, loglevel = 0;
     char *configfile = NULL;
     
     debug_init("radsecproxy");
     debug_set_level(DEBUG_LEVEL);
-    getargs(argc, argv, &foreground, &loglevel, &configfile);
+    getargs(argc, argv, &foreground, &pretend, &loglevel, &configfile);
     if (loglevel)
        debug_set_level(loglevel);
     getmainconfig(configfile ? configfile : CONFIG_MAIN);
@@ -2788,6 +2794,9 @@ int main(int argc, char **argv) {
        debug_set_destination(options.logdestination);
     }
 
+    if (pretend)
+       debugx(0, DBG_ERR, "All OK so far; exiting since only pretending");
+    
     if (!list_first(clconfs))
        debugx(1, DBG_ERR, "No clients configured, nothing to do, exiting");
     if (!list_first(srvconfs))
@@ -2801,15 +2810,12 @@ int main(int argc, char **argv) {
     debug(DBG_INFO, "radsecproxy revision $Rev$ starting");
 
     if (client_udp_count) {
-       udp_server_listen = server_create('U', options.listenudp);
        udp_server_replyq = newreplyq();
        if (pthread_create(&udpserverth, NULL, udpserverrd, NULL))
            debugx(1, DBG_ERR, "pthread_create failed");
-       if (options.listenaccudp) {
-           udp_accserver_listen = server_create('U', options.listenaccudp);
+       if (options.listenaccudp)
            if (pthread_create(&udpaccserverth, NULL, udpaccserverrd, NULL))
                debugx(1, DBG_ERR, "pthread_create failed");
-       }
     }
     
     for (entry = list_first(srvconfs); entry; entry = list_next(entry)) {
@@ -2818,11 +2824,20 @@ int main(int argc, char **argv) {
                           (void *)((struct clsrvconf *)entry->data)->servers))
            debugx(1, DBG_ERR, "pthread_create failed");
     }
+    /* srcudpres no longer needed, while srctcpres is needed later */
+    if (srcudpres) {
+       free(srcudpres);
+       srcudpres = NULL;
+    }
+    if (udp_client4_sock >= 0)
+       if (pthread_create(&udpclient4rdth, NULL, udpclientrd, (void *)&udp_client4_sock))
+           debugx(1, DBG_ERR, "clientwr: pthread_create failed");
+    if (udp_client6_sock >= 0)
+       if (pthread_create(&udpclient6rdth, NULL, udpclientrd, (void *)&udp_client6_sock))
+           debugx(1, DBG_ERR, "clientwr: pthread_create failed");
     
-    if (client_tls_count) {
-       tcp_server_listen = server_create('T', options.listentcp);
+    if (client_tls_count)
        return tlslistener();
-    }
     
     /* just hang around doing nothing, anything to do here? */
     for (;;)
Unnamed repository; edit this file 'description' to name the repository.