<div dir="ltr"><div>I have Xl2tpd and Strongswan 5.1.2 installed at Ubuntu 14.04 LTS as Vpn servers and Win XP/ Win 7 clients (most of them are behind NAT) . Server is not behind NAT.<br>I set up 3 connection' s types: l2tp/psk, l2tp/ipsec (cert) and ikev2.<br>Connection of l2tp/psk is successfull both as for Win XP and for win 7.<br>Connection of l2tp/ipsec (cert) is successfull for Win XP only.<br>But connections of l2tp/ipsec (cert) and ikev2 doesn' t work for Win 7.<br>There are interactive logging (made at ipsec --nofork mode) while Win 7 connects to and ipsec.conf for l2tp/ipsec (cert) and for two types of ikev2 procedure.<br></div><br>There is external IP of strongswan server is used at Vpn connection properties.<br>Server certificate (located at strongswan server) has FQDN and external IP 95.24.95.95 in subjectAltName and CN contents FQDN of strongswan server.<br><div><br>For L2tp/Ipsec with Certificate (Win 7) :<br><br>11[IKE] IKE_SA ikev1_l2tp_rsa[1] state change: CONNECTING => ESTABLISHED<br>11[IKE] DPD not supported by peer, disabled<br>11[IKE] sending end entity cert "C=RU, ST=North, L=City, O=Org, OU=Main, CN=<a href="http://gate_name.mydomain.net">gate_name.mydomain.net</a>, N=My Server certificate, E=<a href="mailto:admin@mydomain.net">admin@mydomain.net</a>"<br>11[ENC] generating ID_PROT response 0 [ ID CERT SIG ]<br>11[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1484 bytes)<br>15[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (1900 bytes)<br>15[IKE] received retransmit of request with ID 0, retransmitting response<br>15[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1484 bytes)<br>11[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (1900 bytes)<br>11[IKE] received retransmit of request with ID 0, retransmitting response<br>11[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1484 bytes)<br>12[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (1900 bytes)<br>12[IKE] received retransmit of request with ID 0, retransmitting response<br>12[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1484 bytes)<br><br><br>For Ikev2 with machine sited certificate (Win 7) :<br><br>14[IKE] CHILD_SA ikev2_machine_cert{2} established with SPIs c8c7c4c5_i 333c9d8a_o and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://10.10.1.2/32">10.10.1.2/32</a><br>14[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR DNS NBNS) SA TSi TSr N(MOBIKE_SUP) N(ADD_4_ADDR) ]<br>14[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1660 bytes)<br>05[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (2476 bytes)<br>05[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]<br>05[IKE] received retransmit of request with ID 1, retransmitting response<br>05[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1660 bytes)<br>14[IKE] retransmit 2 of request with message ID 0<br>14[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (76 bytes)<br>15[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (2476 bytes)<br>15[ENC] parsed IKE_AUTH request 1 [ IDi CERT CERTREQ AUTH N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]<br>15[IKE] received retransmit of request with ID 1, retransmitting response<br>15[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1660 bytes)<br>13[IKE] retransmit 3 of request with message ID 0<br>13[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (76 bytes)<br><br><br>For Ikev2 with eap-mschap v2 and and certificate (Win 7) :<br><br>15[IKE] authentication of '95.24.95.95' (myself) with RSA signature successful<br>15[IKE] sending end entity cert "C=RU, ST=North, L=City, O=Org, OU=Main, CN=<a href="http://gate_name.mydomain.net">gate_name.mydomain.net</a>, N=My Server certificate, E=<a href="mailto:admin@mydomain.net">admin@mydomain.net</a>"<br>15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]<br>15[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1516 bytes)<br>08[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (1340 bytes)<br>08[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]<br>08[IKE] received retransmit of request with ID 1, retransmitting response<br>08[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1516 bytes)<br>14[NET] received packet: from 79.135.235.142[64775] to 95.24.95.95[4500] (1340 bytes)<br>14[ENC] parsed IKE_AUTH request 1 [ IDi CERTREQ N(MOBIKE_SUP) CPRQ(ADDR DNS NBNS SRV ADDR6 DNS6 SRV6) SA TSi TSr ]<br>14[IKE] received retransmit of request with ID 1, retransmitting response<br>14[NET] sending packet: from 95.24.95.95[4500] to 79.135.235.142[64775] (1516 bytes)<br><br><br>Ipsec.conf:<br><br>conn %default <br>    compress=yes<br>    dpdaction=clear  # tried   dpdaction=restart<br>    dpddelay=40<br>    dpdtimeout=130<br>    forceencaps=yes<br>    ikelifetime=8h<br>    keyingtries=10<br>    keylife=10800<br>    margintime=15m<br><br>conn l2tp_ipsec<br>    auto=add <br>    esp=aes256-sha1! <br>    ike=aes256-sha1-modp1024! <br>    keyexchange=ikev1 <br>    keyingtries=2<br>    left=95.24.95.95 <br>    leftauth=pubkey<br>    leftcert=/etc/ipsec.d/certs/server.crt<br>    leftid=95.24.95.95<br>    leftprotoport=udp/%any  <br>    mobike=no<br>    rekey=no<br>    right=%any <br>    rightauth=pubkey (also tried rsa)<br>    rightsendcert=never<br>    rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a>  <br>    type=transport <br><br>conn ikev2_eap_mschapv2<br>    auto=add<br>    eap_identity=%any<br>    esp=aes256-sha1!    <br>    ike=aes256-sha1-modp1024! <br>    keyexchange=ikev2<br>    left=95.24.95.95 <br>    leftauth=pubkey<br>    leftcert=/etc/ipsec.d/certs/server.crt<br>    leftid=95.24.95.95<br>    leftsendcert = always<br>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a> <br>    mobike=yes<br>    rekey=no<br>    right=%any<br>    rightauth=eap-mschapv2<br>    rightsourceip=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>    rightsendcert=never<br><br>conn ikev2_machine_cert<br>    auto=add<br>    esp=aes256-sha1!           <br>    ike=aes256-sha1-modp1024!<br>    keyexchange=ikev2<br>    left=95.24.95.95<br>    leftcert=/etc/ipsec.d/certs/server.crt<br>    leftid=95.24.95.95<br>    leftsendcert = always<br>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a> <br>    mobike=yes<br>    rekey=no<br>    right=%any<br>    rightsourceip=<a href="http://192.168.1.0/24">192.168.1.0/24</a><br>    rightsendcert=never<br><br>I think that some trouble is in some connection parameters for especially Win 7, but I don' t suppose which ones.<br>Can somebody tell where is/are trouble/troubles ?<br></div></div>