<div dir="ltr">Thanks Martin your information was very useful.<div>Actually I'm trying to use FreeRadius with Strongswan using EAP-Radius plugin.</div><div>Do you have any information regarding FreeRadius support of this thing?<br><div><br></div></div></div><br><div class="gmail_quote"><div dir="ltr">On Wed, Jun 24, 2015 at 11:48 AM Martin Willi <<a href="mailto:martin@strongswan.org">martin@strongswan.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
> Is there any way that i could use user/password inside eap-ttls tunnel?<br>
> windows clients are able to initiate IKE tunnel with eap-ttls and<br>
> user+password as their authentication protocol  and I'm trying to use<br>
> Strongswan as my server side.<br>
<br>
strongSwan EAP-TTLS currently does not support tunneling plain PAP/CHAP,<br>
but only other EAP methods.<br>
<br>
> If not, what do you recommend in such a solution that an authentication<br>
> system with user+password is required.(CHAP alone is not secure<br>
> enough).<br>
<br>
Using plain EAP-MSCHAPv2 is usually fine in IKEv2 if you terminate EAP<br>
at the IKE responder. The EAP exchange is protected by IKEv2 using the<br>
responders server certificate.<br>
<br>
If that is insufficient for you, you may EAP-TTLS- or PEAP-tunnel<br>
EAP-MSCHAPv2. That is supported by the Windows client. But from a<br>
security perspective it does not help much if you terminate EAP at the<br>
IKE responder, just complicates things.<br>
<br>
If you terminate EAP at an AAA backend using our eap-radius plugin, you<br>
might want additional security on the gateway->AAA link. Using EAP-TTLS<br>
(with any inner authentication method) may be an option. strongSwan does<br>
not terminate EAP then, and you can use any method that the client and<br>
the AAA supports.<br>
<br>
Regards<br>
Martin<br>
<br>
</blockquote></div>