<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:DengXian;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"\@DengXian";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:#954F72;
        text-decoration:underline;}
.MsoChpDefault
        {mso-style-type:export-only;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:70.85pt 70.85pt 56.7pt 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style>
</head>
<body lang="EN-US" link="blue" vlink="#954F72">
<div class="WordSection1">
<p class="MsoNormal">Hi Tobias,</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">thanks a lot for the input. Still not much luck here. This is my config + the logs. They</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">config setup</p>
<p class="MsoNormal">  charondebug="ike 2, knl 3, cfg 1, enc -1, lib -1"</p>
<p class="MsoNormal">  charonstart=yes</p>
<p class="MsoNormal">  plutostart=no</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn %default</p>
<p class="MsoNormal">  leftcert=vpn.server.cert.pem</p>
<p class="MsoNormal">  dpdaction=clear</p>
<p class="MsoNormal">  dpddelay=300s</p>
<p class="MsoNormal">  dpdtimeout=1h</p>
<p class="MsoNormal">  keyexchange=ikev2</p>
<p class="MsoNormal">  auto=add</p>
<p class="MsoNormal">  rekey=no</p>
<p class="MsoNormal">  </p>
<p class="MsoNormal">conn rw</p>
<p class="MsoNormal">  left=%any</p>
<p class="MsoNormal">  leftcert=vpn.server.cert.pem</p>
<p class="MsoNormal">  leftauth=pubkey</p>
<p class="MsoNormal">  leftsubnet=0.0.0.0/24</p>
<p class="MsoNormal">  right=%any</p>
<p class="MsoNormal">  rightauth=eap-tls</p>
<p class="MsoNormal">  rightsendcert=never</p>
<p class="MsoNormal">  eap_identity=%any</p>
<p class="MsoNormal">  keyexchange=ikev2</p>
<p class="MsoNormal">  rightsourceip=172.20.1.1/24</p>
<p class="MsoNormal">  rightid="C=CN, O=EXAMPLE, CN=client"</p>
<p class="MsoNormal">  auto=add</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Apr 28 20:09:38 00[KNL] listening on interfaces:</p>
<p class="MsoNormal">Apr 28 20:09:38 00[KNL]   eth0</p>
<p class="MsoNormal">Apr 28 20:09:38 00[KNL]     192.168.0.3</p>
<p class="MsoNormal">Apr 28 20:09:38 00[KNL]     fd00:788d:f701:302:c2b0:a6ff:fec0:fd21</p>
<p class="MsoNormal">Apr 28 20:09:38 00[KNL]     fe80::c2b0:a6ff:fec0:fd21</p>
<p class="MsoNormal">Apr 28 20:09:39 05[KNL] getting interface name for %any</p>
<p class="MsoNormal">Apr 28 20:09:39 05[KNL] %any is not a local address</p>
<p class="MsoNormal">Apr 28 20:09:39 05[KNL] getting interface name for %any</p>
<p class="MsoNormal">Apr 28 20:09:39 05[KNL] %any is not a local address</p>
<p class="MsoNormal">Apr 28 20:09:48 11[IKE] <1> 89.204.137.247 is initiating an IKE_SA</p>
<p class="MsoNormal">Apr 28 20:09:48 11[IKE] <1> IKE_SA (unnamed)[1] state change: CREATED => CONNECTING</p>
<p class="MsoNormal">Apr 28 20:09:49 11[IKE] <1> local host is behind NAT, sending keep alives</p>
<p class="MsoNormal">Apr 28 20:09:49 11[IKE] <1> remote host is behind NAT</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> received cert request for "C=CN, O=EXAMPLE, CN=EXAMPLE ca"</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> received cert request for unknown ca with keyid 0e:ac:82:60:40:56:27:97:e5:25:13:fc:2a:e1:0a:53:95:59:e4:a4</p>
<p class="MsoNormal">...</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> received cert request for unknown ca with keyid ee:6a:0f:1d:67:94:cf:44:ff:cf:1b:a8:e2:f2:68:50:86:6d:15:f8</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> received 43 cert requests for an unknown ca</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP4_ADDRESS attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP4_DNS attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP4_NBNS attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP4_SERVER attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP6_ADDRESS attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP6_DNS attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> processing INTERNAL_IP6_SERVER attribute</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> peer supports MOBIKE</p>
<p class="MsoNormal">Apr 28 20:09:50 12[IKE] <1> IKE_SA (unnamed)[1] state change: CONNECTING => DESTROYING</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Not sure if there is something wrong with my iptables. So adding it, too:</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain INPUT (policy ACCEPT)</p>
<p class="MsoNormal">target     prot opt source               destination</p>
<p class="MsoNormal">fail2ban-ssh  tcp  --  anywhere             anywhere             multiport dports ssh</p>
<p class="MsoNormal">ACCEPT     gre  --  anywhere             anywhere</p>
<p class="MsoNormal">ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:1723 state NEW</p>
<p class="MsoNormal">ACCEPT     gre  --  anywhere             anywhere</p>
<p class="MsoNormal">ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http-alt state NEW</p>
<p class="MsoNormal">ACCEPT     all  --  anywhere             anywhere</p>
<p class="MsoNormal">ACCEPT     udp  --  anywhere             anywhere             udp dpt:isakmp</p>
<p class="MsoNormal">ACCEPT     udp  --  anywhere             anywhere             udp dpt:ipsec-nat-t</p>
<p class="MsoNormal">ACCEPT     icmp --  anywhere             anywhere</p>
<p class="MsoNormal">ACCEPT     esp  --  anywhere             anywhere</p>
<p class="MsoNormal">ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED</p>
<p class="MsoNormal">ACCEPT     all  --  loopback/24          loopback/24</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain FORWARD (policy ACCEPT)</p>
<p class="MsoNormal">target     prot opt source               destination</p>
<p class="MsoNormal">TCPMSS     tcp  --  172.20.1.0/24        anywhere             tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU</p>
<p class="MsoNormal">ACCEPT     all  --  anywhere             anywhere</p>
<p class="MsoNormal">ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain OUTPUT (policy ACCEPT)</p>
<p class="MsoNormal">target     prot opt source               destination</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Chain fail2ban-ssh (1 references)</p>
<p class="MsoNormal">target     prot opt source               destination</p>
<p class="MsoNormal">RETURN     all  --  anywhere             anywhere</p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Thanks,</p>
<p class="MsoNormal">Arne</p>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><o:p> </o:p></span></p>
<div style="mso-element:para-border-div;border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal" style="border:none;padding:0in"><b>From: </b><a href="mailto:tobias@strongswan.org">Tobias Brunner</a><br>
<b>Sent: </b>Thursday, April 28, 2016 18:31<br>
<b>To: </b><a href="mailto:arne.j.schmid@outlook.com">Arne Schmid</a>; <a href="mailto:users@lists.strongswan.org">
users@lists.strongswan.org</a><br>
<b>Subject: </b>Re: [strongSwan] Win7 and Window10Mobile: IKE authentication credentials are unacceptable</p>
</div>
<p class="MsoNormal"><span style="font-size:12.0pt;font-family:"Times New Roman",serif"><o:p> </o:p></span></p>
</div>
:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true" Name="Body Text Indent"/>
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true" name="List Continue" />
<w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true" name="List Continue 2" /><w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true" name="List Continue 3" /><w:LsdException Locked="false" SemiHidden="true" UnhideWhenUsed="true" name="List Continue 4" />
<div class="BodyFragment">
<div class="PlainText">Hi Arne,<br>
<br>
> Apr 28 12:13:58 12[IKE] <rw|1> peer requested EAP, config inacceptable<br>
<br>
Your clients probably want to authenticate with EAP-TLS.  Refer to [1]<br>
for details.<br>
<br>
Also, please reduce the log levels, in particular for the lib and enc<br>
log groups [2].<br>
<br>
Regards,<br>
Tobias<br>
<br>
[1] <a href="https://wiki.strongswan.org/projects/strongswan/wiki/Windows7">https://wiki.strongswan.org/projects/strongswan/wiki/Windows7</a><br>
[2] <a href="https://wiki.strongswan.org/projects/strongswan/wiki/LoggerConfiguration">
https://wiki.strongswan.org/projects/strongswan/wiki/LoggerConfiguration</a><br>
</div>
</div>
</body>
</html>