<div dir="ltr"><div>Hello, I followed this manual to set up IKEv2 VPN on Ubuntu 16.04:</div><div><a href="https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html">https://raymii.org/s/tutorials/IPSEC_vpn_with_Ubuntu_16.04.html</a></div><div><br></div><div>I successfully established a tunnel on an Android device with Strongswan app and data can be transferred through the VPN server.</div><div><br></div><div>Now I am stuck at the Windows part (my client is Windows 10). When following this manual ...</div><div><a href="https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs">https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs</a></div><div>... something already looks different at this step:</div><div>"Double-clicking on the end entity certificate left in the Personal / Certificates folder</div><div>shows that a corresponding private key is present in the registry:"</div><div><br></div><div>There is no remark about a matching private key in my case.</div><div>Furthermore there is no certificate trust path in the tab "Certification Path". There is simply "strongSwan Root CA".</div><div><br></div><div>When I try to establish the tunnel on Windows 10, I get this message: "A certificate could not be found that can be used with this Extensible Authentication Protocol."</div><div><br></div><div>I signed the public key like that:</div><div><br></div><div>ipsec pki --pub --in private/vpnHostKey.der --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/strongswanCert.der --cakey private/strongswanKey.der --dn "C=DE, O=Massivhaus, CN=<hostname>.com" --san <hostname>.com --flag serverAuth --flag ikeIntermediate --outform der > certs/vpnHostCert.der</div><div>I created the client certificate on the VPN server with this command:</div><div><br></div><div>ipsec pki --pub --in private/JohnKey.der --type rsa | ipsec pki --issue --lifetime 730 --cacert cacerts/strongswanCert.der --cakey private/strongswanKey.der --dn "C=DE, O=Massivhaus, CN=john@<hostname>.com" --san "john@<hostname>.com" --outform der > certs/JohnCert.der</div><div><hostname> is a place holder for the real domain name, which I used.</div><div><br></div><div>My mind starts to go in circles, I have no idea what I did wrong. I know Windows needs "--flag serverAuth", but it is there (checked with "ipsec pki --print --in certs/vpnHostCert.der)!</div><div><br></div><div>Any help would be appreciated.</div></div>