<div dir="ltr"><div>Hi,</div><div><br></div><div>Thanks with the help from this forum I was able to get a connection working with Ikev2 by setting the ipsec.secrets file with my cert key. </div><div><br></div><div>Can i ask for some help with another problem. I have found that Ikev2 is not working with freeradius using eap-mscahpv2 (IOS client) as i expected. I can get it to work by setting the user in the ipsec.secrets file but i am trying to use central freeradius server / mysql DB for authentication and not the sercrets file.</div><div><br></div><div>Does eap-mschapv2 only support ipsec.sercrets file and not freeradius ? </div><div><br></div><div>From my reading of freeradius supports eap-mschapv2 as its built in and so should just work.  </div><div><br></div><div>I can get ikev1 user log in ok so that proves freeradius setup is ok and i see it works via freeradius logs. I put two sets of ipsec logs below, one with the user in the ipsec.secrets file that works and another set that shows the errors when removed. I notice that freeradius logs dont get any changes / no contact from strongswan.</div><div><br></div><div>Here is the offending part in the logs to save you time reading below:</div><div><br></div><div><div>Dec 11 12:08:31 vpn2 charon: 05[IKE] EAP-MS-CHAPv2 username: 'carl'</div><div>Dec 11 12:08:31 vpn2 charon: 05[IKE] no EAP key found for hosts '<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>' - 'carl'</div><div>Dec 11 12:08:31 vpn2 charon: 05[IKE] EAP-MS-CHAPv2 verification failed, retry (1)</div></div><div><br></div><div>Any help or advice appreciated. Should i use eap-radius or something else ? From my reading of IOS 8 support i can only use eap-mschapv2.</div><div><br></div><div>Many Thanks</div><div>Carl</div><div><br></div><div>file Strongswan.conf: <br></div><div><br></div><div><div>charon {</div><div>        load_modular = yes</div><div>        plugins {</div><div>                include strongswan.d/charon/*.conf</div><div>                eap-radius {</div><div>                        class_group = yes</div><div>                        eap_start = yes</div><div>                        servers {</div><div>                                primary {</div><div>                                        address = vpn2</div><div>                                        secret =sharedsec</div><div>                                        nas_identifer = ipsec-gateway</div><div>                                        sockets = 20</div><div>                                }</div><div>                        }</div><div>                }</div><div>        }</div><div>}</div><div><br></div><div>include strongswan.d/*.conf</div></div><div><br></div><div>file ipsec.conf:</div><div><br></div><div>conn %default</div><div>    keyexchange=ikev2</div><div>    ike=aes128-sha1-modp2048!</div><div>    esp=aes128-sha1!</div><div>    dpdaction=clear</div><div>    dpddelay=300s</div><div>    rekey=no</div><div>    rightdns=8.8.8.8,8.8.4.4</div><div><br></div><div>conn win7</div><div>    left=%any</div><div>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftauth=pubkey</div><div>    leftcert=vpnHostCert.pem</div><div>    leftid=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>    leftsendcert=always</div><div>    right=%any</div><div>    rightid=*@<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>    rightsourceip=<a href="http://10.10.3.0/24">10.10.3.0/24</a></div><div>    rightauth=eap-mschapv2</div><div>    eap_identity=%any</div><div>    auto=add<br></div><div><br></div><div>conn IOS8_IKEV1</div><div>    keyexchange=ikev1</div><div>    left=%any</div><div>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>    leftauth=pubkey</div><div>    leftcert=vpnHostCert.pem</div><div>    rightauth=pubkey</div><div>    rightauth2=xauth:password</div><div>    auto=add</div><div>    eap_identity=%identity</div><div>    rightsourceip=<a href="http://172.16.0.0/16">172.16.0.0/16</a></div><div>    right=%any</div><div><br></div><div><br></div><div>file: ipsec.sercets</div><div><br></div><div><div>: RSA vpnHostKey.pem</div><div>carl : EAP "connect1"</div><div><br></div><div>include /var/lib/strongswan/ipsec.secrets.inc</div></div><div><br></div><div>Logs where user can login using ipsec.secrets with user set:<br></div><div><div><br></div><div>Dec 11 12:05:42 vpn2 charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.2.1, Linux 3.13.0-37-generic, x86_64)</div><div>Dec 11 12:05:42 vpn2 charon: 00[DMN] agent plugin requires CAP_DAC_OVERRIDE capability</div><div>Dec 11 12:05:42 vpn2 charon: 00[LIB] plugin 'agent': failed to load - agent_plugin_create returned NULL</div><div>Dec 11 12:05:42 vpn2 charon: 00[DMN] xauth-pam plugin requires CAP_AUDIT_WRITE capability</div><div>Dec 11 12:05:42 vpn2 charon: 00[LIB] plugin 'xauth-pam': failed to load - xauth_pam_plugin_create returned NULL</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] HA config misses local/remote address</div><div>Dec 11 12:05:42 vpn2 charon: 00[LIB] plugin 'ha': failed to load - ha_plugin_create returned NULL</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG]   loaded ca certificate "C=CH, O=strongSwan, CN=strongSwan Root CA" from '/etc/ipsec.d/cacerts/strongswanCert.pem'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG]   loaded RSA private key from '/etc/ipsec.d/private/vpnHostKey.pem'</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG]   loaded EAP secret for carl</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed</div><div>Dec 11 12:05:42 vpn2 charon: 00[CFG] loaded 1 RADIUS server configuration</div><div>Dec 11 12:05:42 vpn2 charon: 00[LIB] loaded plugins: charon aes rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp xcbc hmac gcm attr kernel-netlink resolve socket-default farp stroke updown eap-identity eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic xauth-eap tnc-tnccs dhcp lookip error-notify certexpire led addrblock unity</div><div>Dec 11 12:05:42 vpn2 charon: 00[LIB] unable to load 5 plugin features (5 due to unmet dependencies)</div><div>Dec 11 12:05:42 vpn2 charon: 00[LIB] dropped capabilities, running as uid 0, gid 0</div><div>Dec 11 12:05:42 vpn2 charon: 00[JOB] spawning 16 worker threads</div><div>Dec 11 12:05:42 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG] received stroke: add connection 'win7'</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG] conn win7</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   left=%any</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   leftauth=pubkey</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   leftid=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   leftcert=vpnHostCert.pem</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   right=%any</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   rightsourceip=<a href="http://10.10.3.0/24">10.10.3.0/24</a></div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   rightdns=8.8.8.8,8.8.4.4</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   rightauth=eap-mschapv2</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   rightid=*@<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a></div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   eap_identity=%any</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   ike=aes128-sha1-modp2048!</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   esp=aes128-sha1!</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   dpddelay=300</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   dpdtimeout=150</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   dpdaction=1</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   mediation=no</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   keyexchange=ikev2</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG] left nor right host is our side, assuming left=local</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG] adding virtual IP address pool <a href="http://10.10.3.0/24">10.10.3.0/24</a></div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG]   loaded certificate "C=CH, O=strongSwan, CN=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>" from 'vpnHostCert.pem'</div><div>Dec 11 12:05:42 vpn2 charon: 09[CFG] added configuration 'win7'</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG] received stroke: add connection 'IOS8_IKEV1'</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG] conn IOS8_IKEV1</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   left=%any</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   leftauth=pubkey</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   leftcert=vpnHostCert.pem</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   right=%any</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   rightsourceip=<a href="http://172.16.0.0/16">172.16.0.0/16</a></div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   rightdns=8.8.8.8,8.8.4.4</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   rightauth=pubkey</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   rightauth2=xauth:password</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   eap_identity=%identity</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024!</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   esp=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes128-sha256-modp1536,aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha256-modp2048,aes256-sha1-modp2048,aes128-sha256-modp1024,aes128-sha1-modp1024,aes256-sha384-modp1536,aes256-sha256-modp1536,aes256-sha1-modp1536,aes256-sha384-modp1024,aes256-sha256-modp1024,aes256-sha1-modp1024,aes128gcm16,aes256gcm16,aes128-sha256,aes128-sha1,aes256-sha384,aes256-sha256,aes256-sha1!</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   dpddelay=300</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   dpdtimeout=150</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   dpdaction=1</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   mediation=no</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   keyexchange=ikev1</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG] left nor right host is our side, assuming left=local</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG] adding virtual IP address pool <a href="http://172.16.0.0/16">172.16.0.0/16</a></div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   loaded certificate "C=CH, O=strongSwan, CN=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>" from 'vpnHostCert.pem'</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG]   id '%any' not confirmed by certificate, defaulting to 'C=CH, O=strongSwan, CN=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>'</div><div>Dec 11 12:05:42 vpn2 charon: 11[CFG] added configuration 'IOS8_IKEV1'</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] received packet: from 191.101.55.203[500] to 178.62.119.121[500]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:53 vpn2 charon: 13[NET] received packet: from 191.101.55.203[500] to 178.62.119.121[500] (416 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG] looking for an ike config for 178.62.119.121...191.101.55.203</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG]   candidate: %any...%any, prio 28</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG] found matching ike config: %any...%any with prio 28</div><div>Dec 11 12:05:53 vpn2 charon: 13[IKE] 191.101.55.203 is initiating an IKE_SA</div><div>Dec 11 12:05:53 vpn2 charon: 13[IKE] IKE_SA (unnamed)[1] state change: CREATED => CONNECTING</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG] selecting proposal:</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG]   proposal matches</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG] received proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>Dec 11 12:05:53 vpn2 charon: 13[CFG] selected proposal: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048</div><div>Dec 11 12:05:53 vpn2 charon: 13[IKE] remote host is behind NAT</div><div>Dec 11 12:05:53 vpn2 charon: 13[IKE] sending cert request for "C=CH, O=strongSwan, CN=strongSwan Root CA"</div><div>Dec 11 12:05:53 vpn2 charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]</div><div>Dec 11 12:05:53 vpn2 charon: 13[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500] (465 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[500] to 191.101.55.203[500]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:53 vpn2 charon: 14[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500] (364 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 14[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]</div><div>Dec 11 12:05:53 vpn2 charon: 14[CFG] looking for peer configs matching 178.62.119.121[<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>]...191.101.55.203[<a href="mailto:client@strongholdvpn2.ddns.net">client@strongholdvpn2.ddns.net</a>]</div><div>Dec 11 12:05:53 vpn2 charon: 14[CFG]   candidate "win7", match: 20/19/28 (me/other/ike)</div><div>Dec 11 12:05:53 vpn2 charon: 14[CFG] selected peer config 'win7'</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] initiating EAP_IDENTITY method (id 0x00)</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP4_ADDRESS attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP4_DHCP attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP4_DNS attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP4_NETMASK attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP6_ADDRESS attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP6_DHCP attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] processing INTERNAL_IP6_DNS attribute</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] authentication of '<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>' (myself) with RSA signature successful</div><div>Dec 11 12:05:53 vpn2 charon: 14[IKE] sending end entity cert "C=CH, O=strongSwan, CN=<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>"</div><div>Dec 11 12:05:53 vpn2 charon: 14[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]</div><div>Dec 11 12:05:53 vpn2 charon: 14[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (2028 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:53 vpn2 charon: 15[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500] (76 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 15[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]</div><div>Dec 11 12:05:53 vpn2 charon: 15[IKE] received EAP identity 'carl'</div><div>Dec 11 12:05:53 vpn2 charon: 15[IKE] initiating EAP_MSCHAPV2 method (id 0x06)</div><div>Dec 11 12:05:53 vpn2 charon: 15[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]</div><div>Dec 11 12:05:53 vpn2 charon: 15[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (108 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:53 vpn2 charon: 16[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500] (140 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 16[ENC] parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]</div><div>Dec 11 12:05:53 vpn2 charon: 16[IKE] EAP-MS-CHAPv2 username: 'carl'</div><div>Dec 11 12:05:53 vpn2 charon: 16[ENC] generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]</div><div>Dec 11 12:05:53 vpn2 charon: 16[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (140 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500]</div><div>Dec 11 12:05:53 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:53 vpn2 charon: 03[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500] (76 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 03[ENC] parsed IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]</div><div>Dec 11 12:05:53 vpn2 charon: 03[IKE] EAP method EAP_MSCHAPV2 succeeded, MSK established</div><div>Dec 11 12:05:53 vpn2 charon: 03[ENC] generating IKE_AUTH response 4 [ EAP/SUCC ]</div><div>Dec 11 12:05:53 vpn2 charon: 03[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (76 bytes)</div><div>Dec 11 12:05:53 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div><div>Dec 11 12:05:54 vpn2 charon: 08[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500]</div><div>Dec 11 12:05:54 vpn2 charon: 02[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500] (92 bytes)</div><div>Dec 11 12:05:54 vpn2 charon: 02[ENC] parsed IKE_AUTH request 5 [ AUTH ]</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] authentication of '<a href="mailto:client@strongholdvpn2.ddns.net">client@strongholdvpn2.ddns.net</a>' with EAP successful</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] authentication of '<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>' (myself) with EAP</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] IKE_SA win7[1] established between 178.62.119.121[<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>]...191.101.55.203[<a href="mailto:client@strongholdvpn2.ddns.net">client@strongholdvpn2.ddns.net</a>]</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] IKE_SA win7[1] state change: CONNECTING => ESTABLISHED</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] peer requested virtual IP %any</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] assigning new lease to 'carl'</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] assigning virtual IP 10.10.3.1 to peer 'carl'</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] peer requested virtual IP %any6</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] no virtual IP found for %any6 requested by 'carl'</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] building INTERNAL_IP4_DNS attribute</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] building INTERNAL_IP4_DNS attribute</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] looking for a child config for <a href="http://0.0.0.0/0">0.0.0.0/0</a> ::..ff:ff:ff:ff:ff:ff:ff:ff === <a href="http://0.0.0.0/0">0.0.0.0/0</a> ::..ff:ff:ff:ff:ff:ff:ff:ff </div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] proposing traffic selectors for us:</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]  <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] proposing traffic selectors for other:</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]  <a href="http://10.10.3.1/32">10.10.3.1/32</a></div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]   candidate "win7" with prio 10+2</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] found matching child config "win7" with prio 12</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] selecting proposal:</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]   proposal matches</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] received proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] configured proposals: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] selected proposal: ESP:AES_CBC_128/HMAC_SHA1_96/NO_EXT_SEQ</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] selecting traffic selectors for us:</div><div>Dec 11 12:05:54 vpn2 charon: 08[NET] waiting for data on sockets</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]  config: <a href="http://0.0.0.0/0">0.0.0.0/0</a>, received: <a href="http://0.0.0.0/0">0.0.0.0/0</a> => match: <a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]  config: <a href="http://0.0.0.0/0">0.0.0.0/0</a>, received: ::..ff:ff:ff:ff:ff:ff:ff:ff => no match</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG] selecting traffic selectors for other:</div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]  config: <a href="http://10.10.3.1/32">10.10.3.1/32</a>, received: <a href="http://0.0.0.0/0">0.0.0.0/0</a> => match: <a href="http://10.10.3.1/32">10.10.3.1/32</a></div><div>Dec 11 12:05:54 vpn2 charon: 02[CFG]  config: <a href="http://10.10.3.1/32">10.10.3.1/32</a>, received: ::..ff:ff:ff:ff:ff:ff:ff:ff => no match</div><div>Dec 11 12:05:54 vpn2 charon: 02[IKE] CHILD_SA win7{1} established with SPIs c7990dbd_i 0bddb371_o and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://10.10.3.1/32">10.10.3.1/32</a> </div><div>Dec 11 12:05:54 vpn2 charon: 02[ENC] generating IKE_AUTH response 5 [ AUTH CPRP(ADDR DNS DNS) SA TSi TSr ]</div><div>Dec 11 12:05:54 vpn2 charon: 02[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (220 bytes)</div><div>Dec 11 12:05:54 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div><div><br></div><div>**************************************</div><div>Logs where i removed the EAP user carl from ipsec.secrets and i get EAP errors.</div><div>****************************************</div><div><br></div><div>Dec 11 12:08:31 vpn2 charon: 16[ENC] parsed IKE_AUTH request 2 [ EAP/RES/ID ]</div><div>Dec 11 12:08:31 vpn2 charon: 16[IKE] received EAP identity 'carl'</div><div>Dec 11 12:08:31 vpn2 charon: 16[IKE] initiating EAP_MSCHAPV2 method (id 0x30)</div><div>Dec 11 12:08:31 vpn2 charon: 16[ENC] generating IKE_AUTH response 2 [ EAP/REQ/MSCHAPV2 ]</div><div>Dec 11 12:08:31 vpn2 charon: 16[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (108 bytes)</div><div>Dec 11 12:08:31 vpn2 charon: 10[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div><div>Dec 11 12:08:31 vpn2 charon: 09[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500]</div><div>Dec 11 12:08:31 vpn2 charon: 09[NET] waiting for data on sockets</div><div>Dec 11 12:08:31 vpn2 charon: 05[NET] received packet: from 191.101.55.203[1024] to 178.62.119.121[4500] (140 bytes)</div><div>Dec 11 12:08:31 vpn2 charon: 05[ENC] parsed IKE_AUTH request 3 [ EAP/RES/MSCHAPV2 ]</div><div>Dec 11 12:08:31 vpn2 charon: 05[IKE] EAP-MS-CHAPv2 username: 'carl'</div><div>Dec 11 12:08:31 vpn2 charon: 05[IKE] no EAP key found for hosts '<a href="http://strongholdvpn2.ddns.net">strongholdvpn2.ddns.net</a>' - 'carl'</div><div>Dec 11 12:08:31 vpn2 charon: 05[IKE] EAP-MS-CHAPv2 verification failed, retry (1)</div><div>Dec 11 12:08:33 vpn2 charon: 05[ENC] generating IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]</div><div>Dec 11 12:08:33 vpn2 charon: 05[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024] (124 bytes)</div><div>Dec 11 12:08:33 vpn2 charon: 10[NET] sending packet: from 178.62.119.121[4500] to 191.101.55.203[1024]</div></div></div>