strongswan server ipsec.conf
conn %default
ikelifetime=3h
keylife=20m
rekeymargin=3m
keyingtries=2
mobike=no
conn win_ike2_domain
left=%defaultroute
leftauth=pubkey
leftcert=vpnhost.pem # the host cert
leftid=@san.domain.name # the SAN (Alt name) in the Cert
leftsubnet=0.0.0.0/0 # The internal subnet the remote user wants to access
right=%any # Connections can come from anywhere
rightauth=eap-radius
rightsendcert=never
rightsourceip=10.10.10.0/24 # Use this pool of IPs to assign to these inbound connections
auto=add
eap_identity=%any
keyexchange=ikev2
fragmentation=yes
dpdaction=clear
Радиус - Windows 2012 Network Policy Server
Сертификат сервера содержит SAN для данного хоста выдан на хост dns.domain.name, отличающийся от dns данного хоста
Маководы мои и Windows клиенты подключаются без проблем.
Появилось целых два :D пользователя Linux которые не смогли.
Как должна выглядеть конфигурация ipsec.conf у strongswan с клиентской стороны в случае моей конфигурации?
сервер представляется сертификатом. клиент представляется EAP-ом(доменной учеткой), прописанным в секретах.
Как ipsec.secrets должен выглядеть?
логин : EAP "пароль"
или
domain\login : EAP "пароль"
или
login@domain.name : EAP "пароль"
Кто сталкивался с похожей конфигурацией, может, подскажете правильную конфигурацию клиентской части
P.S. интересует, в первую очередь, консольные настройки, интеграция с network manager пока не нужна.
Может быть что-то еще кроме strongswan надо поставить в линукс, о чем я не подозреваю?
Средний
