<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN">
<HTML>
<HEAD>
  <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
  <META NAME="GENERATOR" CONTENT="GtkHTML/4.6.6">
</HEAD>
<BODY>
<PRE>
<TT>Hi,</TT>
</PRE>
<BR>
<TT>I am trying to setup a IKEv2 server with EAP-PEAP authentication, but the connection doesn't go beyond phase1. The log reports no TLS public keys being found. Using an StartCom-issued certificate on the server.</TT><BR>
<TT>What's wrong with my setup?</TT><BR>
<BR>
<TT>Client setup: </TT>
<BLOCKQUOTE TYPE=CITE>
<PRE>
<TT>conn rw-ikev2-eap</TT>
<TT>        keyexchange=ikev2</TT>
<TT>        compress=yes</TT>
<TT>        rightid=%fromcert</TT>
<TT>        right=vpn.zanardo.com.br</TT>
<TT>        rightsubnet=0.0.0.0/0</TT>
<TT>        rightauth=eap-peap</TT>
<TT>        rightsourceip=%config</TT>
<TT>        left=%defaultroute</TT>
<TT>        leftauth=eap-peap</TT>
<TT>        leftid=ygor</TT>
<TT>        leftsendcert=never</TT>
<TT>        auto=add</TT>
</PRE>
</BLOCKQUOTE>
<PRE>

</PRE>
<TT>ipsec statusall: </TT>
<BLOCKQUOTE TYPE=CITE>
<PRE>
<TT>Status of IKE charon daemon (strongSwan 5.1.1, Linux 3.11.10-7-desktop, x86_64):</TT>
<TT>  uptime: 2 minutes, since May 12 20:39:47 2014</TT>
<TT>  malloc: sbrk 2985984, mmap 0, used 611424, free 2374560</TT>
<TT>  worker threads: 10 of 16 idle, 6/0/0/0 working, job queue: 0/0/0/0, scheduled: 0</TT>
<TT>  loaded plugins: charon curl soup ldap pkcs11 aes des blowfish rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl gcrypt af-alg fips-prf gmp agent xcbc cmac hmac ctr ccm gcm attr kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam tnc-imc tnc-imv tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp certexpire led duplicheck radattr addrblock unity</TT>
<TT>Listening IP addresses:</TT>
<TT>  192.168.1.10</TT>
<TT>  2001:1291:23b:0:22cf:30ff:fef0:fad1</TT>
<TT>Connections:</TT>
<TT>rw-ikev2-eap:  %any...vpn.zanardo.com.br  IKEv2</TT>
<TT>rw-ikev2-eap:   local:  [ygor] uses EAP_PEAP authentication</TT>
<TT>rw-ikev2-eap:   remote: [fromcert] uses EAP_PEAP authentication</TT>
<TT>rw-ikev2-eap:   child:  dynamic === 0.0.0.0/0 TUNNEL</TT>
<TT>Security Associations (0 up, 0 connecting):</TT>
<TT>  none</TT>
</PRE>
</BLOCKQUOTE>
<PRE>

</PRE>
<TT>Log:</TT>
<BLOCKQUOTE TYPE=CITE>
<PRE>
<TT>initiating IKE_SA rw-ikev2-eap[1] to 200.178.219.170</TT>
<TT>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</TT>
<TT>sending packet: from 192.168.1.10[500] to 200.178.219.170[500] (1212 bytes)</TT>
<TT>received packet: from 200.178.219.170[500] to 192.168.1.10[500] (440 bytes)</TT>
<TT>parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]</TT>
<TT>local host is behind NAT, sending keep alives</TT>
<TT>sending cert request for "C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA"</TT>
<TT>sending cert request for "C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority"</TT>
<TT>establishing CHILD_SA rw-ikev2-eap</TT>
<TT>generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) CERTREQ N(IPCOMP_SUP) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (428 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (204 bytes)</TT>
<TT>parsed IKE_AUTH response 1 [ IDr EAP/REQ/PEAP ]</TT>
<TT>server requested EAP_PEAP authentication (id 0x80)</TT>
<TT>EAP_PEAP version is v0</TT>
<TT>allow mutual EAP-only authentication</TT>
<TT>generating IKE_AUTH request 2 [ EAP/RES/PEAP ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (236 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (1100 bytes)</TT>
<TT>parsed IKE_AUTH response 2 [ EAP/REQ/PEAP ]</TT>
<TT>generating IKE_AUTH request 3 [ EAP/RES/PEAP ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (76 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (1100 bytes)</TT>
<TT>parsed IKE_AUTH response 3 [ EAP/REQ/PEAP ]</TT>
<TT>generating IKE_AUTH request 4 [ EAP/RES/PEAP ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (76 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (1100 bytes)</TT>
<TT>parsed IKE_AUTH response 4 [ EAP/REQ/PEAP ]</TT>
<TT>generating IKE_AUTH request 5 [ EAP/RES/PEAP ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (76 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (1100 bytes)</TT>
<TT>parsed IKE_AUTH response 5 [ EAP/REQ/PEAP ]</TT>
<TT>generating IKE_AUTH request 6 [ EAP/RES/PEAP ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (76 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (396 bytes)</TT>
<TT>parsed IKE_AUTH response 6 [ EAP/REQ/PEAP ]</TT>
<TT>negotiated TLS 1.2 using suite TLS_DHE_RSA_WITH_AES_128_CBC_SHA</TT>
<TT>received TLS server certificate 'D=0FKpeSCSnLtP7r7P, C=BR, CN=vpn.zanardo.com.br, E=webmaster@zanardo.com.br'</TT>
<TT>received TLS intermediate certificate 'C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA'</TT>
<TT>  using certificate "D=0FKpeSCSnLtP7r7P, C=BR, CN=vpn.zanardo.com.br, E=webmaster@zanardo.com.br"</TT>
<TT>  using trusted intermediate ca certificate "C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA"</TT>
<TT>checking certificate status of "D=0FKpeSCSnLtP7r7P, C=BR, CN=vpn.zanardo.com.br, E=webmaster@zanardo.com.br"</TT>
<TT>  requesting ocsp status from 'http://ocsp.startssl.com/sub/class1/server/ca' ...</TT>
<TT>  using certificate "C=IL, O=StartCom Ltd. (Start Commercial Limited), CN=StartCom Class 1 Server OCSP Signer"</TT>
<TT>  using trusted intermediate ca certificate "C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA"</TT>
<TT>  using trusted ca certificate "C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Certification Authority"</TT>
<TT>  reached self-signed root ca with a path length of 1</TT>
<TT>  ocsp response correctly signed by "C=IL, O=StartCom Ltd. (Start Commercial Limited), CN=StartCom Class 1 Server OCSP Signer"</TT>
<TT>  ocsp response is valid: until May 14 20:40:05 2014</TT>
<TT>certificate status is good</TT>
<TT>policy 2.23.140.1.2.1 missing in issuing certificate 'C=IL, O=StartCom Ltd., OU=Secure Digital Certificate Signing, CN=StartCom Class 1 Primary Intermediate Server CA'</TT>
<TT>no TLS public key found for server 'D=0FKpeSCSnLtP7r7P, C=BR, CN=vpn.zanardo.com.br, E=webmaster@zanardo.com.br'</TT>
<TT>sending fatal TLS alert 'certificate unknown'</TT>
<TT>generating IKE_AUTH request 7 [ EAP/RES/PEAP ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (92 bytes)</TT>
<TT>received packet: from 200.178.219.170[4500] to 192.168.1.10[4500] (76 bytes)</TT>
<TT>parsed IKE_AUTH response 7 [ EAP/FAIL ]</TT>
<TT>received EAP_FAILURE, EAP authentication failed</TT>
<TT>generating INFORMATIONAL request 8 [ N(AUTH_FAILED) ]</TT>
<TT>sending packet: from 192.168.1.10[4500] to 200.178.219.170[4500] (76 bytes)</TT>
<TT>establishing connection 'rw-ikev2-eap' failed</TT>
</PRE>
</BLOCKQUOTE>
<PRE>

<TT>Thanks,</TT>
<TT>Ygor</TT>
</PRE>
</BODY>
</HTML>