<div dir="ltr"><div>Hi,</div><div><br></div><div>Thanks for the advice, i have removed the rightauth=eap-mschapv2 and also for Ikev1. But i cant get it to work for either. About the xauth is that not recommeneded because its old ?. It is in the documentation and i have it working.. please advise why i should not use it.</div><div><br></div><div><div>Try 1) with ikev2 rightauth=pubkey and rightauth2=eap-radius it does not work and freeradius is not called. See log snippet below. </div><div><br></div><div>conn %default</div><div>    keyexchange=ikev2</div><div>    ike=aes128-sha1-modp2048!</div><div>    esp=aes128-sha1!</div><div>    dpdaction=clear</div><div>    dpddelay=300s</div><div>    rekey=no</div><div>    rightdns=8.8.8.8,8.8.4.4</div><div><br></div><div>conn win7</div><div>    left=%any</div><div>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftauth=pubkey</div><div>    leftcert=vpnHostCert.pem</div><div>    leftid=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>    leftsendcert=always</div><div>    right=%any</div><div>    rightid=*@<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>    rightsourceip=<a href="http://10.10.3.0/24">10.10.3.0/24</a></div><div>    eap_identity=%identity</div><div>    auto=add</div><div>    rightauth=pubkey</div><div>    rightauth2=eap-radius</div><div><br></div><div>Logs:</div><div><br></div><div>Dec 11 13:10:14 vpn2 charon: 13[CFG] selected peer config 'win7'</div><div>Dec 11 13:10:14 vpn2 charon: 13[IKE] peer requested EAP, config inacceptable</div><div>Dec 11 13:10:14 vpn2 charon: 13[CFG] no alternative config found</div><div><br></div><div>*****************</div><div><br></div><div>Try 2) with ikev2 rightauth=eap-radius it does not work but freeradius is called (an improvement) The freeradius logs complains a lot about many things like plain text password, and goes on about removing 'Auth-Type = Local' from /etc/freeradius/sites-enabled/default and it fails the authentication. But i know the username and password are in the db and radcheck passes. Also Ikev1 with rightauth:xauth pasword works as before though i have been told that should not be used. </div><div><br></div><div>I looked in that config file and there is no 'Auth-Type = Local'. The setup is all vanilla default and has pam and chap and mschap already set.<br></div><div><br></div><div>I tested with and without eap_identity=%identity and it seems to pass the user name when its set so i keep that.<br></div><div><br></div><div>Not sure what to do next. Any advice would be greatly appreciated.</div><div><br></div><div>Many Thanks</div><div>Carl</div><div><br></div><div>See log snippet below. </div><div><br></div><div>conn %default</div><div>    keyexchange=ikev2</div><div>    ike=aes128-sha1-modp2048!</div><div>    esp=aes128-sha1!</div><div>    dpdaction=clear</div><div>    dpddelay=300s</div><div>    rekey=no</div><div>    rightdns=8.8.8.8,8.8.4.4</div><div><br></div><div>conn win7</div><div>    left=%any</div><div>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftauth=pubkey</div><div>    leftcert=vpnHostCert.pem</div><div>    leftid=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>    leftsendcert=always</div><div>    right=%any</div><div>    rightid=*@<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>    rightsourceip=<a href="http://10.10.3.0/24">10.10.3.0/24</a></div><div>    eap_identity=%identity</div><div>    auto=add</div><div>    rightauth=eap-radius</div><div><span class="" style="white-space:pre">        </span></div><div><span class="" style="white-space:pre">   </span>Dec 11 13:15:50 vpn2 charon: 14[CFG] found matching ike config: %any...%any with prio 28</div><div>Dec 11 13:15:50 vpn2 charon: 14[IKE] 191.101.55.203 is initiating an IKE_SA</div><div>Dec 11 13:15:50 vpn2 charon: 14[IKE] IKE_SA (unnamed)[1] state change: CREATED => CONNECTING</div><div>Dec 11 13:15:50 vpn2 charon: 14[CFG] selecting proposal:</div><div>Dec 11 13:15:50 vpn2 charon: 14[CFG]   proposal matches</div><div>Dec 11 13:15:50 vpn2 charon: 14[CFG] received proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>Dec 11 13:15:50 vpn2 charon: 14[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>Dec 11 13:15:50 vpn2 charon: 14[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>Dec 11 13:15:50 vpn2 charon: 14[IKE] remote host is behind NAT</div><div>Dec 11 13:15:50 vpn2 charon: 14[IKE] sending cert request for "C=CH, O=strongSwan, CN=strongSwan Root CA"</div><div>Dec 11 13:15:50 vpn2 charon: 14[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]</div><div>Dec 11 13:15:50 vpn2 charon: 14[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500] (465 bytes)</div><div>Dec 11 13:15:50 vpn2 charon: 09[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500]</div><div>Dec 11 13:15:50 vpn2 charon: 06[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500]</div><div>Dec 11 13:15:50 vpn2 charon: 06[NET] waiting for data on sockets</div><div>Dec 11 13:15:50 vpn2 charon: 15[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500] (364 bytes)</div><div>Dec 11 13:15:50 vpn2 charon: 15[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]</div><div>Dec 11 13:15:50 vpn2 charon: 15[CFG] looking for peer configs matching 178.62.119.121[<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>]...191.101.55.203[<a href="mailto:client@strongholdvpn2.ddns.net">client@strongholdvpn2.ddns.net</a>]</div><div>Dec 11 13:15:50 vpn2 charon: 15[CFG]   candidate "win7", match: 20/19/28 (me/other/ike)</div><div>Dec 11 13:15:50 vpn2 charon: 15[CFG] selected peer config 'win7'</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] initiating EAP_IDENTITY method (id 0x00)</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP4_ADDRESS attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP4_DHCP attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP4_DNS attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP4_NETMASK attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP6_ADDRESS attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP6_DHCP attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] processing INTERNAL_IP6_DNS attribute</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] authentication of '<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>' (myself) with RSA signature successful</div><div>Dec 11 13:15:50 vpn2 charon: 15[IKE] sending end entity cert "C=CH, O=strongSwan, CN=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>"</div><div>Dec 11 13:15:50 vpn2 charon: 15[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]</div><div>Dec 11 13:15:50 vpn2 charon: 15[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[4500] (2028 bytes)</div><div>Dec 11 13:15:50 vpn2 charon: 09[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[4500]</div><div>Dec 11 13:15:50 vpn2 charon: 06[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500]</div><div>Dec 11 13:15:50 vpn2 charon: 06[NET] waiting for data on sockets</div><div>Dec 11 13:15:50 vpn2 charon: 16[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500] (76 bytes)</div><div>Dec 11 13:15:50 vpn2 charon: 16[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]</div><div>Dec 11 13:15:50 vpn2 charon: 16[IKE] received EAP identity 'carl'</div><div>Dec 11 13:15:50 vpn2 charon: 16[CFG] RADIUS server 'primary' is candidate: 210</div><div>Dec 11 13:15:50 vpn2 charon: 16[CFG] sending RADIUS Access-Request to server 'primary'</div><div>Dec 11 13:15:51 vpn2 charon: 16[CFG] received RADIUS Access-Reject from server 'primary'</div><div>Dec 11 13:15:51 vpn2 charon: 16[IKE] RADIUS authentication of 'carl' failed</div><div>Dec 11 13:15:51 vpn2 charon: 16[IKE] initiating EAP_RADIUS method failed</div><div>Dec 11 13:15:51 vpn2 charon: 16[ENC] generating IKE_AUTH response 2 [ EAP/FAIL ]</div><div>Dec 11 13:15:51 vpn2 charon: 16[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[4500] (76 bytes)</div><div>Dec 11 13:15:51 vpn2 charon: 16[IKE] IKE_SA win7[1] state change: CONNECTING => DESTROYING</div><div>Dec 11 13:15:51 vpn2 charon: 09[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[4500]</div><div><br></div><div>Freeradius logs:</div><div><br></div><div>Ready to process requests.</div><div>rad_recv: Access-Request packet from host 127.0.0.1 port 43489, id=105, length=133</div><div><span class="" style="white-space:pre">    </span>User-Name = "carl"</div><div><span class="" style="white-space:pre">       </span>NAS-Port-Type = Virtual</div><div><span class="" style="white-space:pre">    </span>Service-Type = Framed-User</div><div><span class="" style="white-space:pre"> </span>NAS-Port = 1</div><div><span class="" style="white-space:pre">       </span>NAS-Port-Id = "win7"</div><div><span class="" style="white-space:pre">     </span>NAS-IP-Address = 178.62.119.121</div><div><span class="" style="white-space:pre">    </span>Called-Station-Id = "178.62.119.121[4500]"</div><div><span class="" style="white-space:pre">       </span>Calling-Station-Id = "191.101.55.203[4500]"</div><div><span class="" style="white-space:pre">      </span>NAS-Identifier = "strongSwan"</div><div><span class="" style="white-space:pre">    </span>Message-Authenticator = 0x479e892b8e242a7ee0a7cec41bcdca8e</div><div># Executing section authorize from file /etc/freeradius/sites-enabled/default</div><div>+- entering group authorize {...}</div><div>++[preprocess] returns ok</div><div>++[chap] returns noop</div><div>++[mschap] returns noop</div><div>++[digest] returns noop</div><div>[suffix] No '@' in User-Name = "carl", looking up realm NULL</div><div>[suffix] No such realm "NULL"</div><div>++[suffix] returns noop</div><div>[eap] No EAP-Message, not doing EAP</div><div>++[eap] returns noop</div><div>++[files] returns noop</div><div>[sql] <span class="" style="white-space:pre">    </span>expand: %{User-Name} -> carl</div><div>[sql] sql_set_user escaped user --> 'carl'</div><div>rlm_sql (sql): Reserving sql socket id: 4</div><div>[sql] <span class="" style="white-space:pre">  </span>expand: SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radcheck           WHERE username = 'carl'           ORDER BY id</div><div>WARNING: Found User-Password == "...".</div><div>WARNING: Are you sure you don't mean Cleartext-Password?</div><div>WARNING: See "man rlm_pap" for more information.</div><div>[sql] User found in radcheck table</div><div>[sql] <span class="" style="white-space:pre">      </span>expand: SELECT id, username, attribute, value, op           FROM radreply           WHERE username = '%{SQL-User-Name}'           ORDER BY id -> SELECT id, username, attribute, value, op           FROM radreply           WHERE username = 'carl'           ORDER BY id</div><div>[sql] <span class="" style="white-space:pre">  </span>expand: SELECT groupname           FROM radusergroup           WHERE username = '%{SQL-User-Name}'           ORDER BY priority -> SELECT groupname           FROM radusergroup           WHERE username = 'carl'           ORDER BY priority</div><div>rlm_sql (sql): Released sql socket id: 4</div><div>++[sql] returns ok</div><div>++[expiration] returns noop</div><div>++[logintime] returns noop</div><div>[pap] No clear-text password in the request.  Not performing PAP.</div><div>++[pap] returns noop</div><div>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!</div><div>!!!    Replacing User-Password in config items with Cleartext-Password.     !!!</div><div>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!</div><div>!!! Please update your configuration so that the "known good"               !!!</div><div>!!! clear text password is in Cleartext-Password, and not in User-Password. !!!</div><div>!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!</div><div>WARNING: Please update your configuration, and remove 'Auth-Type = Local'</div><div>WARNING: Use the PAP or CHAP modules instead.</div><div>No User-Password or CHAP-Password attribute in the request.</div><div>Cannot perform authentication.</div><div>Failed to authenticate the user.</div><div>Using Post-Auth-Type Reject</div><div># Executing group from file /etc/freeradius/sites-enabled/default</div><div>+- entering group REJECT {...}</div><div>[attr_filter.access_reject] <span class="" style="white-space:pre"> </span>expand: %{User-Name} -> carl</div><div>attr_filter: Matched entry DEFAULT at line 11</div><div>++[attr_filter.access_reject] returns updated</div><div>Delaying reject of request 0 for 1 seconds</div><div>Going to the next request</div><div>Waking up in 0.9 seconds.</div><div>Sending delayed reject for request 0</div><div>Sending Access-Reject of id 105 to 127.0.0.1 port 43489</div><div>Waking up in 4.9 seconds.</div><div>Cleaning up request 0 ID 105 with timestamp +226</div><div>Ready to process requests.</div><div><br></div><div><br></div><div>******************</div><div><br></div><div>Try 3) IKEV1 with  rightauth=eap-radius</div><div><br></div><div>Not working now but was when i used xauth:password.</div><div><br></div><div>Logs</div><div><br></div><div>Dec 11 13:50:58 vpn2 charon: 11[IKE] sending XAuth vendor ID</div><div>Dec 11 13:50:58 vpn2 charon: 11[IKE] sending DPD vendor ID</div><div>Dec 11 13:50:58 vpn2 charon: 11[IKE] sending NAT-T (RFC 3947) vendor ID</div><div>Dec 11 13:50:58 vpn2 charon: 11[ENC] generating ID_PROT response 0 [ SA V V V ]</div><div>Dec 11 13:50:58 vpn2 charon: 11[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500] (136 bytes)</div><div>Dec 11 13:50:58 vpn2 charon: 08[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500]</div><div>Dec 11 13:50:58 vpn2 charon: 05[NET] received packet: from 191.101.55.203[500] to 178.62.119.121[500]</div><div>Dec 11 13:50:58 vpn2 charon: 05[NET] waiting for data on sockets</div><div>Dec 11 13:50:58 vpn2 charon: 03[NET] received packet: from 191.101.55.203[500] to 178.62.119.121[500] (228 bytes)</div><div>Dec 11 13:50:58 vpn2 charon: 03[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]</div><div>Dec 11 13:50:58 vpn2 charon: 03[IKE] remote host is behind NAT</div><div>Dec 11 13:50:58 vpn2 charon: 03[IKE] sending cert request for "C=CH, O=strongSwan, CN=strongSwan Root CA"</div><div>Dec 11 13:50:58 vpn2 charon: 03[ENC] generating ID_PROT response 0 [ KE No CERTREQ NAT-D NAT-D ]</div><div>Dec 11 13:50:58 vpn2 charon: 03[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500] (314 bytes)</div><div>Dec 11 13:50:58 vpn2 charon: 08[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500]</div><div>Dec 11 13:50:59 vpn2 charon: 05[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500]</div><div>Dec 11 13:50:59 vpn2 charon: 05[NET] waiting for data on sockets</div><div>Dec 11 13:50:59 vpn2 charon: 12[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500] (2012 bytes)</div><div>Dec 11 13:50:59 vpn2 charon: 12[ENC] parsed ID_PROT request 0 [ ID CERT SIG CERTREQ N(INITIAL_CONTACT) ]</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE] ignoring certificate request without data</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE] received end entity cert "C=CH, O=strongSwan, CN=<a href="mailto:client@yahoo.com">client@yahoo.com</a>"</div><div>Dec 11 13:50:59 vpn2 charon: 12[CFG] looking for XAuthInitRSA peer configs matching 178.62.119.121...191.101.55.203[C=CH, O=strongSwan, CN=<a href="mailto:client@yahoo.com">client@yahoo.com</a>]</div><div>Dec 11 13:50:59 vpn2 charon: 12[CFG]   candidate "IOS8_IKEV1", match: 1/1/28 (me/other/ike)</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE] found 1 matching config, but none allows XAuthInitRSA authentication using Main Mode</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE] queueing INFORMATIONAL task</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE] activating new tasks</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE]   activating INFORMATIONAL task</div><div>Dec 11 13:50:59 vpn2 charon: 12[ENC] generating INFORMATIONAL_V1 request 3194029422 [ HASH N(AUTH_FAILED) ]</div><div>Dec 11 13:50:59 vpn2 charon: 12[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[4500] (92 bytes)</div><div>Dec 11 13:50:59 vpn2 charon: 08[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[4500]</div><div>Dec 11 13:50:59 vpn2 charon: 12[IKE] IKE_SA (unnamed)[1] state change: CONNECTING => DESTROYING</div><div>Dec 11 13:51:02 vpn2 charon: 05[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500]</div><div>Dec 11 13:51:02 vpn2 charon: 05[NET] waiting for data on sockets</div><div>Dec 11 13:51:05 vpn2 charon: 05[NET] received packet: from 191.101.55.203[4500] to 178.62.119.121[4500]</div><div>Dec 11 13:51:05 vpn2 charon: 05[NET] waiting for data on sockets</div></div><div><br></div></div>