<div dir="ltr"><span style="font-size:14px">Hi,</span><div style="font-size:14px"><br></div><div style="font-size:14px">IOS8 VPN Connection: Could not validate the server certificate.</div><div style="font-size:14px"><br></div><div style="font-size:14px">Windows connected properly.<br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px">####################-------------------Error Messages----------------------#######################<br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px">LOG</div><div style="font-size:14px"><br></div><div style="font-size:14px"><div>Jul 21 10:07:28 localhost charon: 04[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V V V ]</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] looking for an ike config for 112.91.xx.209...112.96.173.55</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   candidate: %any...%any, prio 28</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   candidate: %any...%any, prio 28</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] found matching ike config: %any...%any with prio 28</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received NAT-T (RFC 3947) vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received XAuth vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received Cisco Unity vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received FRAGMENTATION vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] received DPD vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] 112.96.173.55 is initiating a Main Mode IKE_SA</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] IKE_SA (unnamed)[11] state change: CREATED => CONNECTING</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable DIFFIE_HELLMAN_GROUP found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable PSEUDO_RANDOM_FUNCTION found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable DIFFIE_HELLMAN_GROUP found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable PSEUDO_RANDOM_FUNCTION found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:28 localhost charon: 04[CFG]   proposal matches</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP, IKE:AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP</div><div>Jul 21 10:07:28 localhost charon: 04[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] sending XAuth vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] sending DPD vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] sending FRAGMENTATION vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[IKE] sending NAT-T (RFC 3947) vendor ID</div><div>Jul 21 10:07:28 localhost charon: 04[ENC] generating ID_PROT response 0 [ SA V V V V ]</div><div>Jul 21 10:07:28 localhost strongswan: 07[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP, IKE:AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP</div><div>Jul 21 10:07:28 localhost strongswan: 07[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536</div><div>Jul 21 10:07:28 localhost strongswan: 07[IKE] sending XAuth vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 07[IKE] sending DPD vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 07[IKE] sending FRAGMENTATION vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 07[IKE] sending NAT-T (RFC 3947) vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 07[ENC] generating ID_PROT response 0 [ SA V V V V ]</div><div>Jul 21 10:07:28 localhost strongswan: 01[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]</div><div>Jul 21 10:07:28 localhost strongswan: 01[IKE] remote host is behind NAT</div><div>Jul 21 10:07:28 localhost strongswan: 01[IKE] sending cert request for "C=CH, O=strongSwan, CN=strongSwan CA"</div><div>Jul 21 10:07:28 localhost strongswan: 01[ENC] generating ID_PROT response 0 [ KE No CERTREQ NAT-D NAT-D ]</div><div>Jul 21 10:07:28 localhost strongswan: 03[ENC] parsed ID_PROT request 0 [ FRAG ]</div><div>Jul 21 10:07:28 localhost strongswan: 03[IKE] received fragment #1, waiting for complete IKE message</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] parsed ID_PROT request 0 [ FRAG ]</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] received fragment #2, reassembling fragmented IKE message</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] parsed ID_PROT request 0 [ ID CERT SIG CERTREQ N(INITIAL_CONTACT) ]</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] ignoring certificate request without data</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] received end entity cert "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] looking for XAuthInitRSA peer configs matching 112.91.xx.209...112.96.173.55[C=CH, O=strongSwan, CN=112.91.xx.209]</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   candidate "CiscoIPSec", match: 1/1/28 (me/other/ike)</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   candidate "XauthPsk", match: 1/1/28 (me/other/ike)</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] selected peer config "CiscoIPSec"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   certificate "C=CH, O=strongSwan, CN=112.91.xx.209" key: 2048 bit RSA</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   using trusted ca certificate "C=CH, O=strongSwan, CN=strongSwan CA"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] checking certificate status of "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] ocsp check skipped, no ocsp found</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] certificate status is not available</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   certificate "C=CH, O=strongSwan, CN=strongSwan CA" key: 4096 bit RSA</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   reached self-signed root ca with a path length of 0</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   using trusted certificate "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] signature validation failed, looking for another key</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   using certificate "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   certificate "C=CH, O=strongSwan, CN=112.91.xx.209" key: 2048 bit RSA</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   using trusted ca certificate "C=CH, O=strongSwan, CN=strongSwan CA"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] checking certificate status of "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] ocsp check skipped, no ocsp found</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG] certificate status is not available</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   certificate "C=CH, O=strongSwan, CN=strongSwan CA" key: 4096 bit RSA</div><div>Jul 21 10:07:28 localhost strongswan: 11[CFG]   reached self-signed root ca with a path length of 0</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] authentication of 'C=CH, O=strongSwan, CN=112.91.xx.209' with RSA successful</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] authentication of 'C=CH, O=strongSwan, CN=112.91.xx.209' (myself) successful</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] queueing XAUTH task</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] sending end entity cert "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] generating ID_PROT response 0 [ ID CERT SIG ]</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] sending IKE message with length of 1468 bytes in 3 fragments</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] generating ID_PROT response 0 [ FRAG ]</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] generating ID_PROT response 0 [ FRAG ]</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] generating ID_PROT response 0 [ FRAG ]</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE] activating new tasks</div><div>Jul 21 10:07:28 localhost strongswan: 11[IKE]   activating XAUTH task</div><div>Jul 21 10:07:28 localhost strongswan: 11[ENC] generating TRANSACTION request 2341071175 [ HASH CPRQ(X_USER X_PWD) ]</div><div>Jul 21 10:07:28 localhost strongswan: 16[ENC] invalid HASH_V1 payload length, decryption failed?</div><div>Jul 21 10:07:28 localhost strongswan: 16[ENC] could not decrypt payloads</div><div>Jul 21 10:07:28 localhost strongswan: 16[IKE] message parsing failed</div><div>Jul 21 10:07:28 localhost strongswan: 16[IKE] ignore malformed INFORMATIONAL request</div><div>Jul 21 10:07:28 localhost strongswan: 16[IKE] INFORMATIONAL_V1 request with message ID 1611570210 processing failed</div><div>Jul 21 10:07:28 localhost strongswan: 14[IKE] sending retransmit 1 of request message ID 2341071175, seq 1</div><div>Jul 21 10:07:28 localhost strongswan: 05[IKE] sending retransmit 2 of request message ID 2341071175, seq 1</div><div>Jul 21 10:07:28 localhost strongswan: 04[ENC] parsed ID_PROT request 0 [ SA V V V V V V V V V V V V V V ]</div><div>Jul 21 10:07:28 localhost strongswan: 04[CFG] looking for an ike config for 112.91.xx.209...112.96.173.55</div><div>Jul 21 10:07:28 localhost strongswan: 04[CFG]   candidate: %any...%any, prio 28</div><div>Jul 21 10:07:28 localhost strongswan: 04[CFG]   candidate: %any...%any, prio 28</div><div>Jul 21 10:07:28 localhost strongswan: 04[CFG] found matching ike config: %any...%any with prio 28</div><div>Jul 21 10:07:28 localhost strongswan: 04[IKE] received NAT-T (RFC 3947) vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID</div><div>Jul 21 10:07:28 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID</div><div>Jul 21 10:07:29 localhost charon: 09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]</div><div>Jul 21 10:07:29 localhost charon: 09[IKE] remote host is behind NAT</div><div>Jul 21 10:07:29 localhost charon: 09[IKE] sending cert request for "C=CH, O=strongSwan, CN=strongSwan CA"</div><div>Jul 21 10:07:29 localhost charon: 09[ENC] generating ID_PROT response 0 [ KE No CERTREQ NAT-D NAT-D ]</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received XAuth vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received Cisco Unity vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received FRAGMENTATION vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] received DPD vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] 112.96.173.55 is initiating a Main Mode IKE_SA</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] IKE_SA (unnamed)[11] state change: CREATED => CONNECTING</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable DIFFIE_HELLMAN_GROUP found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable PSEUDO_RANDOM_FUNCTION found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable DIFFIE_HELLMAN_GROUP found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable PSEUDO_RANDOM_FUNCTION found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   no acceptable ENCRYPTION_ALGORITHM found</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selecting proposal:</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG]   proposal matches</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] received proposals: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1536, IKE:AES_CBC_256/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:AES_CBC_128/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:3DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024, IKE:DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:DES_CBC/HMAC_MD5_96/PRF_HMAC_MD5/MODP_1024</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] configured proposals: IKE:AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC_128/AES_CBC_192/AES_CBC_256/3DES_CBC/CAMELLIA_CBC_128/CAMELLIA_CBC_192/CAMELLIA_CBC_256/HMAC_MD5_96/HMAC_SHA1_96/HMAC_SHA2_256_128/HMAC_SHA2_384_192/HMAC_SHA2_512_256/AES_XCBC_96/AES_CMAC_96/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP, IKE:AES_GCM_8_128/AES_GCM_8_192/AES_GCM_8_256/AES_GCM_12_128/AES_GCM_12_192/AES_GCM_12_256/AES_GCM_16_128/AES_GCM_16_192/AES_GCM_16_256/PRF_HMAC_MD5/PRF_HMAC_SHA1/PRF_HMAC_SHA2_256/PRF_HMAC_SHA2_384/PRF_HMAC_SHA2_512/PRF_AES128_XCBC/PRF_AES128_CMAC/MODP_2048/MODP_2048_224/MODP_2048_256/MODP_1536/MODP_3072/MODP_4096/MODP_8192/MODP_1024/MODP_1024_160/ECP_256/ECP_384/ECP_521/ECP_224/ECP_192/ECP_224_BP/ECP_256_BP/ECP_384_BP/ECP_512_BP</div><div>Jul 21 10:07:29 localhost strongswan: 04[CFG] selected proposal: IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] sending XAuth vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] sending DPD vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] sending FRAGMENTATION vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[IKE] sending NAT-T (RFC 3947) vendor ID</div><div>Jul 21 10:07:29 localhost strongswan: 04[ENC] generating ID_PROT response 0 [ SA V V V V ]</div><div>Jul 21 10:07:29 localhost strongswan: 09[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ]</div><div>Jul 21 10:07:29 localhost strongswan: 09[IKE] remote host is behind NAT</div><div>Jul 21 10:07:29 localhost charon: 01[ENC] parsed ID_PROT request 0 [ FRAG ]</div><div>Jul 21 10:07:29 localhost charon: 01[IKE] received fragment #1, waiting for complete IKE message</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] parsed ID_PROT request 0 [ FRAG ]</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] received fragment #2, reassembling fragmented IKE message</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] parsed ID_PROT request 0 [ ID CERT SIG CERTREQ N(INITIAL_CONTACT) ]</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] ignoring certificate request without data</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] received end entity cert "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] looking for XAuthInitRSA peer configs matching 112.91.xx.209...112.96.173.55[C=CH, O=strongSwan, CN=112.91.xx.209]</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   candidate "CiscoIPSec", match: 1/1/28 (me/other/ike)</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   candidate "XauthPsk", match: 1/1/28 (me/other/ike)</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] selected peer config "CiscoIPSec"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   certificate "C=CH, O=strongSwan, CN=112.91.xx.209" key: 2048 bit RSA</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   using trusted ca certificate "C=CH, O=strongSwan, CN=strongSwan CA"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] checking certificate status of "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] ocsp check skipped, no ocsp found</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] certificate status is not available</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   certificate "C=CH, O=strongSwan, CN=strongSwan CA" key: 4096 bit RSA</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   reached self-signed root ca with a path length of 0</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   using trusted certificate "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] signature validation failed, looking for another key</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   using certificate "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   certificate "C=CH, O=strongSwan, CN=112.91.xx.209" key: 2048 bit RSA</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   using trusted ca certificate "C=CH, O=strongSwan, CN=strongSwan CA"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] checking certificate status of "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] ocsp check skipped, no ocsp found</div><div>Jul 21 10:07:29 localhost charon: 03[CFG] certificate status is not available</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   certificate "C=CH, O=strongSwan, CN=strongSwan CA" key: 4096 bit RSA</div><div>Jul 21 10:07:29 localhost charon: 03[CFG]   reached self-signed root ca with a path length of 0</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] authentication of 'C=CH, O=strongSwan, CN=112.91.xx.209' with RSA successful</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] authentication of 'C=CH, O=strongSwan, CN=112.91.xx.209' (myself) successful</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] queueing XAUTH task</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] sending end entity cert "C=CH, O=strongSwan, CN=112.91.xx.209"</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] generating ID_PROT response 0 [ ID CERT SIG ]</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] sending IKE message with length of 1468 bytes in 3 fragments</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] generating ID_PROT response 0 [ FRAG ]</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] generating ID_PROT response 0 [ FRAG ]</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] generating ID_PROT response 0 [ FRAG ]</div><div>Jul 21 10:07:29 localhost charon: 03[IKE] activating new tasks</div><div>Jul 21 10:07:29 localhost charon: 03[IKE]   activating XAUTH task</div><div>Jul 21 10:07:29 localhost charon: 03[ENC] generating TRANSACTION request 1278118635 [ HASH CPRQ(X_USER X_PWD) ]</div><div>Jul 21 10:07:29 localhost charon: 14[ENC] invalid HASH_V1 payload length, decryption failed?</div><div>Jul 21 10:07:29 localhost charon: 14[ENC] could not decrypt payloads</div><div>Jul 21 10:07:29 localhost charon: 14[IKE] message parsing failed</div><div>Jul 21 10:07:29 localhost charon: 14[IKE] ignore malformed INFORMATIONAL request</div><div>Jul 21 10:07:29 localhost charon: 14[IKE] INFORMATIONAL_V1 request with message ID 3171526170 processing failed</div></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><div>####################-------------------Configuration----------------------#####################<br></div><div><br></div><div><div>#INSTALL</div><div>yum -y install strongswan</div><div><br></div><div><br></div><div>#CA</div><div>cd /etc/strongswan/ipsec.d</div><div>strongswan pki --gen --type rsa --size 4096 --outform pem > ca-key.pem</div><div>chmod 600 ca-key.pem</div><div>strongswan pki --self --ca --lifetime 730 --in ca-key.pem --type rsa --dn "C=CH, O=strongSwan, CN=strongSwan CA" --outform pem > ca-cert.pem</div><div><br></div><div>#Server</div><div>strongswan pki --gen --type rsa --size 2048 --outform pem > server-key.pem</div><div>chmod 600 server-key.pem</div><div>strongswan pki --pub --in server-key.pem --type rsa | strongswan pki --issue --lifetime 730 --cacert ca-cert.pem --cakey ca-key.pem --dn "C=CH, O=strongSwan, CN=x.x.x.x" --san "x.x.x.x" --flag serverAuth --flag ikeIntermediate --outform pem > server-cert.pem </div><div><br></div><div>#Client</div><div>strongswan pki --gen --type rsa --size 2048 --outform pem > client-key.pem</div><div>chmod 600 client-key.pem</div><div>strongswan pki --pub --in client-key.pem --type rsa | strongswan pki --issue --lifetime 730 --cacert ca-cert.pem --cakey ca-key.pem --dn "C=CH, O=strongSwan, CN=john" --san "<a href="mailto:john@example.com" target="_blank">john@example.com</a>" --outform pem > client-cert.pem</div><div><br></div><div>openssl pkcs12 -export -inkey client-key.pem -in client-cert.pem -name "John's VPN Certificate" -certfile ca-cert.pem -caname "strongSwan CA" -out john.p12 -password "pass:123"</div><div><br></div><div><br></div><div>#copy</div><div>\cp ca-key.pem /etc/strongswan/ipsec.d/private/ca.key</div><div>\cp ca-cert.pem /etc/strongswan/ipsec.d/cacerts/ca.crt</div><div>\cp server-key.pem /etc/strongswan/ipsec.d/private/server.key</div><div>\cp server-cert.pem /etc/strongswan/ipsec.d/certs/server.crt</div><div>\cp client-key.pem /etc/strongswan/ipsec.d/private/client.key</div><div>\cp client-cert.pem /etc/strongswan/ipsec.d/certs/client.crt</div><div>\cp john.p12 /usr/local/nginx/html/docs/</div><div>cd ~</div><div><br></div><div><br></div><div><br></div><div>#--->ipsec.conf<---#</div><div>cat >/etc/strongswan/ipsec.conf<<EOF</div><div># ipsec.conf - strongSwan IPsec configuration file</div><div><br></div><div>config setup</div><div>    uniqueids=never</div><div>    charondebug="cfg 2, dmn 2, ike 2, net 0"</div><div><br></div><div>conn %default</div><div>    left=%defaultroute</div><div>    leftsubnet=<a href="http://0.0.0.0/0" target="_blank">0.0.0.0/0</a></div><div>    leftcert=server.crt</div><div>    right=%any</div><div>    rightsourceip=<a href="http://10.11.0.5/24" target="_blank">10.11.0.5/24</a></div><div><br></div><div>conn CiscoIPSec</div><div>    keyexchange=ikev1</div><div>    fragmentation=yes</div><div>    rightauth=pubkey</div><div>    rightauth2=xauth</div><div>    leftsendcert=always</div><div>    rekey=no</div><div>    auto=add</div><div><br></div><div>conn XauthPsk</div><div>    keyexchange=ikev1</div><div>    leftauth=psk</div><div>    rightauth=psk</div><div>    rightauth2=xauth</div><div>    auto=add</div><div><br></div><div>conn IpsecIKEv2</div><div>    keyexchange=ikev2</div><div>    leftauth=pubkey</div><div>    rightauth=pubkey</div><div>    leftsendcert=always</div><div>    auto=add</div><div><br></div><div>conn IpsecIKEv2-EAP</div><div>    keyexchange=ikev2</div><div>    ike=aes256-sha1-modp1024!</div><div>    rekey=no</div><div>    leftauth=pubkey</div><div>    leftsendcert=always</div><div>    rightauth=eap-mschapv2</div><div>    eap_identity=%any</div><div>    auto=add</div><div>EOF</div><div><br></div><div><br></div><div><br></div><div>#--->strongswan.conf<---#</div><div>cat >/etc/strongswan/strongswan.conf<<EOF</div><div><br></div><div>charon {</div><div>    load_modular = yes</div><div>    duplicheck.enable = no</div><div>    compress = yes</div><div>    plugins {</div><div>            include strongswan.d/charon/*.conf</div><div>    }</div><div>    dns1 = 8.8.8.8</div><div>    dns2 = 8.8.4.4</div><div>    nbns1 = 8.8.8.8</div><div>    nbns2 = 8.8.4.4</div><div>}</div><div><br></div><div>include strongswan.d/*.conf</div><div>EOF</div><div><br></div><div><br></div><div><br></div><div>#--->ipsec.secrets<---#</div><div>cat >/etc/strongswan/ipsec.secrets<<EOF</div><div>: RSA server.key</div><div>: PSK "123"</div><div>john %any : EAP "password"</div><div>john %any : XAUTH "password"</div><div>EOF</div><div><br></div><div><br></div><div>systemctl enable strongswan.service</div><div>systemctl start strongswan.service</div><div><br></div><div>iptables -I INPUT -p udp -m state --state NEW -m udp --dport 500 -j ACCEPT</div><div>iptables -I INPUT -p udp -m state --state NEW -m udp --dport 4500 -j ACCEPT</div></div><div><br></div></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px">Is not it wrong certificate configuration<br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><br></div><div style="font-size:14px"><div>Thanks</div><div><br></div><div>Cheer</div></div><div class="" style="font-size:14px"><div id=":505" class="" tabindex="0"><img class="" src="https://ssl.gstatic.com/ui/v1/icons/mail/images/cleardot.gif"></div></div></div>