<div dir="ltr"><div><div>Dear all,</div><div><br></div><div>I am very new to strongswan and quite excited about it: lot of interesting things to read and understand.</div><div>The reason why I'm writing is that I want to connect to my VPN service via IKEv2 from my notebook running Arch and have troubles initiating the connection.</div><div>As my VPN service only recently allowed for IKEv2, they do not have good Linux support yet, only mobile devices and Windows.</div><div><br></div><div>I tried my best to find a working configuration, but now I am stuck / confused. </div><div><br></div><div>According to the logs:</div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">authentication of 'xxx' with EAP successful<br>IKE_SA vpn[17] established between 192.168.178.35[xxx]...xxx[xxx]</blockquote></div><div><br></div><div>but at the same time:</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">establishing connection 'vpn' failed</blockquote><div><br></div><div>Below, please find the relevant files and logs. Do you have a hint what to do or try next?</div><div><br></div><div>Regards</div><div>Sebastian</div><div><br></div><div><br></div><div>### /etc/ipsec.secrets</div><div><div>xxx : EAP "xxx"<br></div></div><div><br></div><div>###/etc/ipsec.conf</div><div><br></div><div>config setup</div><div><span style="white-space:pre">   </span># charondebug="cfg 4, dmn 4, ike 4, net 4"</div><div><span style="white-space:pre">  </span># strictcrlpolicy=yes</div><div><span style="white-space:pre"> </span># uniqueids = no</div><div><br></div><div>conn vpn</div><div><span style="white-space:pre">      </span># Key settings</div><div><span style="white-space:pre">        </span>keyexchange=ikev2</div><div><span style="white-space:pre">     </span>ike=aes128-sha1-modp1024!</div><div><span style="white-space:pre">     </span>auto=add</div><div><br></div><div><span style="white-space:pre">     </span># Keep alive</div><div><span style="white-space:pre">  </span>dpdaction=clear</div><div><span style="white-space:pre">       </span>dpddelay=300s</div><div><br></div><div><span style="white-space:pre">        </span># Local</div><div><span style="white-space:pre">       </span>eap_identity=xxx</div><div><span style="white-space:pre">      </span>leftid=xxx</div><div><span style="white-space:pre">    </span>leftauth=eap-mschapv2</div><div><span style="white-space:pre"> </span></div><div><span style="white-space:pre">      </span># Remote</div><div><span style="white-space:pre">      </span>right=xxx</div><div><span style="white-space:pre">     </span>rightauth=pubkey</div><div><span style="white-space:pre">      </span>rightsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div><span style="white-space:pre">    </span>rightid=%any</div><div><span style="white-space:pre">  </span>rightcert=cert.pem</div><div><span style="white-space:pre">    </span>type=tunnel</div><div><br></div><div><br></div><div>### log</div><div>[root@X230 sebastian]# ipsec up vpn</div><div>initiating IKE_SA vpn[17] to xxx</div><div>generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(REDIR_SUP) ]</div><div>sending packet: from 192.168.178.35[500] to xxx[500] (338 bytes)</div><div>received packet: from xxx[500] to 192.168.178.35[500] (336 bytes)</div><div>parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) N(HASH_ALG) N(MULT_AUTH) ]</div><div>local host is behind NAT, sending keep alives</div><div>sending cert request for "xxx"</div><div>establishing CHILD_SA vpn</div><div>generating IKE_AUTH request 1 [ IDi CERTREQ SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) N(MSG_ID_SYN_SUP) ]</div><div>sending packet: from 192.168.178.35[4500] to xxx[4500] (364 bytes)</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (1248 bytes)</div><div>parsed IKE_AUTH response 1 [ EF(1/2) ]</div><div>received fragment #1 of 2, waiting for complete IKE message</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (320 bytes)</div><div>parsed IKE_AUTH response 1 [ EF(2/2) ]</div><div>received fragment #2 of 2, reassembling fragmented IKE message</div><div>parsed IKE_AUTH response 1 [ IDr CERT AUTH EAP/REQ/ID ]</div><div>received end entity cert "xxx"</div><div>  using certificate "xxx"</div><div>  using trusted ca certificate "xxx"</div><div>checking certificate status of "xxx"</div><div>certificate status is not available</div><div>  reached self-signed root ca with a path length of 0</div><div>authentication of 'xxx' with RSA_EMSA_PKCS1_SHA2_256 successful</div><div>server requested EAP_IDENTITY (id 0x00), sending 'xxx'</div><div>generating IKE_AUTH request 2 [ EAP/RES/ID ]</div><div>sending packet: from 192.168.178.35[4500] to xxx[4500] (92 bytes)</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (92 bytes)</div><div>parsed IKE_AUTH response 2 [ EAP/REQ/MD5 ]</div><div>server requested EAP_MD5 authentication (id 0x01)</div><div>requesting EAP_MSCHAPV2 authentication, sending EAP_NAK</div><div>generating IKE_AUTH request 3 [ EAP/RES/NAK ]</div><div>sending packet: from 192.168.178.35[4500] to xxx[4500] (76 bytes)</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (108 bytes)</div><div>parsed IKE_AUTH response 3 [ EAP/REQ/MSCHAPV2 ]</div><div>server requested EAP_MSCHAPV2 authentication (id 0x02)</div><div>generating IKE_AUTH request 4 [ EAP/RES/MSCHAPV2 ]</div><div>sending packet: from 192.168.178.35[4500] to xxx[4500] (140 bytes)</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (124 bytes)</div><div>parsed IKE_AUTH response 4 [ EAP/REQ/MSCHAPV2 ]</div><div>EAP-MS-CHAPv2 succeeded: '(null)'</div><div>generating IKE_AUTH request 5 [ EAP/RES/MSCHAPV2 ]</div><div>sending packet: from 192.168.178.35[4500] to xxx[4500] (76 bytes)</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (76 bytes)</div><div>parsed IKE_AUTH response 5 [ EAP/SUCC ]</div><div>EAP method EAP_MSCHAPV2 succeeded, MSK established</div><div>authentication of 'xxx' (myself) with EAP</div><div>generating IKE_AUTH request 6 [ AUTH ]</div><div>sending packet: from 192.168.178.35[4500] to xxx[4500] (92 bytes)</div><div>received packet: from xxx[4500] to 192.168.178.35[4500] (220 bytes)</div><div>parsed IKE_AUTH response 6 [ AUTH N(MOBIKE_SUP) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(ADD_4_ADDR) N(FAIL_CP_REQ) N(TS_UNACCEPT) ]</div><div>authentication of 'xxx' with EAP successful</div><div>IKE_SA vpn[17] established between 192.168.178.35[xxx]...xxx[xxx]</div><div>scheduling reauthentication in 10243s</div><div>maximum IKE_SA lifetime 10783s</div><div>received FAILED_CP_REQUIRED notify, no CHILD_SA built</div><div>failed to establish CHILD_SA, keeping IKE_SA</div><div>establishing connection 'vpn' failed</div></div><div><br></div></div>