Теперь в server-cert пропишите pki/issued/vpn.domain.com.crt, в server-key — pki/private/vpn.domain.com.key, на стороне клиента импортируйте pki/private/client1.p12.
Обратите внимание, серверный сертификат требует ввода действующего домена! Не какого-то выдуманного, не IP-адрес, а именно домен. Если домена нет, придется либо добавлять его в hosts на клиентской стороне, либо чуть изменить x509-types/server:
TechStudent: Ну, я практически ничего не настраивал, честно говоря, и пробовал подключаться только через AnyConnect на Blackberry, на других платформах даже не устанавливал его ни разу.
У меня настроено следующим образом:
На сервере используется сертификат от центра сертификации WoSign (его можно получить бесплатно, https://buy.wosign.com/free/#myorder), а сервер аутентифицирует по центру сертификации, который я создал через easy-rsa-ipsec. Клиенту нужно импортировать только клиентский сертификат и ключ, без CA.
Кроме этого, конечно же, настроен forwarding и NAT. И, по сути, все. Настраивал его первый и пока единственный раз, ушло на все про все не более 10 минут.
TechStudent: Возьмите https://github.com/ValdikSS/easy-rsa-ipsec и сгенерируйте им. Я, правда, на сервер ставил обычный покупной сертификат, а аутентифицировал клиентов внутренним CA (сгенерированным через easy-rsa).
