<div dir="ltr">Hi,<div>Having configured Ubuntu and Win 10 to successfully connect to our SSwan 5.5.3 server, I thought I was on a roll  and tried a Win 7 machine using x509 certs.</div><div><br></div><div>Installed a client cert on the win 7 machine along with root and intermediate certs. </div><div>Configured win 7 as per the sswan wiki page</div><div><br></div><div>Initally the sswan logs complained that the client had requested an ipv6 address and there wasn't one in the attr-sql pool I was using ( which wascorrect, only ipv4 in it. I then added an fe80::2/64 address to the conffile and yup that error in the logs went away. However the win 7 machine still comes back with</div><div><br></div><div>Verifying user name and password</div><div>Error 13801: IKE authentication credential are unacceptable</div><div><br></div><div>In the logs I see</div><div><br></div><div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> peer supports MOBIKE</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> authentication of 'CN=<a href="http://vpn10.york.ac.uk">vpn10.york.ac.uk</a>, O=University of York, OU=IT Services, L=York, ST=North Yor</div><div>kshire, C=GB' (myself) with RSA signature successful</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> IKE_SA x509-certs-ikev2[4] established between 144.32.128.199[CN=<a href="http://vpn10.york.ac.uk">vpn10.york.ac.uk</a>, O=University of</div><div> York, OU=IT Services, L=York, ST=North Yorkshire, C=GB]...144.32.230.183[CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Services, L=Yo</div><div>rk, ST=North Yorkshire, C=GB]</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> sending end entity cert "CN=<a href="http://vpn10.york.ac.uk">vpn10.york.ac.uk</a>, O=University of York, OU=IT Services, L=York, ST=Nor</div><div>th Yorkshire, C=GB"</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> peer requested virtual IP %any</div><div>Jul  3 15:23:46 14[CFG] <x509-certs-ikev2|4> acquired new lease for address 172.18.64.15 in pool 'itservices'</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> assigning virtual IP 172.18.64.15 to peer 'CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT</div><div>Services, L=York, ST=North Yorkshire, C=GB'</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> peer requested virtual IP %any6</div><div>Jul  3 15:23:46 14[CFG] <x509-certs-ikev2|4> assigning new lease to 'CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Services, L=York, S</div><div>T=North Yorkshire, C=GB'</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> assigning virtual IP fe80::5 to peer 'CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Servi</div><div>ces, L=York, ST=North Yorkshire, C=GB'</div><div>Jul  3 15:23:46 14[IKE] <x509-certs-ikev2|4> CHILD_SA x509-certs-ikev2{4} established with SPIs c08abc23_i f48f4a90_o and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === 172.</div><div>18.64.15/32 fe80::5/128</div><div>Jul  3 15:23:46 14[CFG] <x509-certs-ikev2|4> scheduling RADIUS Interim-Updates every 700s</div><div>Jul  3 15:23:46 14[CFG] <x509-certs-ikev2|4> sending RADIUS Accounting-Request to server 'primary'</div><div>Jul  3 15:23:46 14[CFG] <x509-certs-ikev2|4> received RADIUS Accounting-Response from server 'primary'</div><div>Jul  3 15:23:46 14[ENC] <x509-certs-ikev2|4> generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR ADDR6 DNS DNS) SA TSi TSr N(MOBIKE_SUP) N</div><div>(ADD_4_ADDR) N(ADD_6_ADDR) ]</div><div>Jul  3 15:23:46 14[NET] <x509-certs-ikev2|4> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (2204 bytes)</div><div>Jul  3 15:23:56 06[IKE] <x509-certs-ikev2|3> deleting IKE_SA x509-certs-ikev2[3] between 144.32.128.199[CN=<a href="http://vpn10.york.ac.uk">vpn10.york.ac.uk</a>, O=University of Yo</div><div>rk, OU=IT Services, L=York, ST=North Yorkshire, C=GB]...144.32.230.183[CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Services, L=York,</div><div> ST=North Yorkshire, C=GB]</div></div><div><div>ul  3 15:23:56 06[IKE] <x509-certs-ikev2|3> sending DELETE for IKE_SA x509-certs-ikev2[3]</div><div>Jul  3 15:23:56 06[ENC] <x509-certs-ikev2|3> generating INFORMATIONAL request 0 [ D ]</div><div>Jul  3 15:23:56 06[NET] <x509-certs-ikev2|3> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:24:00 10[IKE] <x509-certs-ikev2|3> retransmit 1 of request with message ID 0</div><div>Jul  3 15:24:00 10[NET] <x509-certs-ikev2|3> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:24:07 10[IKE] <x509-certs-ikev2|3> retransmit 2 of request with message ID 0</div><div>Jul  3 15:24:07 10[NET] <x509-certs-ikev2|3> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:24:20 07[IKE] <x509-certs-ikev2|3> retransmit 3 of request with message ID 0</div><div>Jul  3 15:24:20 07[NET] <x509-certs-ikev2|3> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:24:24 15[IKE] <x509-certs-ikev2|2> retransmit 5 of request with message ID 0</div><div>Jul  3 15:24:24 15[NET] <x509-certs-ikev2|2> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:24:38 05[IKE] <x509-certs-ikev2|1> giving up after 5 retransmits</div><div>Jul  3 15:24:38 05[IKE] <x509-certs-ikev2|1> proper IKE_SA delete failed, peer not responding</div><div>Jul  3 15:24:38 05[CFG] <x509-certs-ikev2|1> sending RADIUS Accounting-Request to server 'primary'</div><div>Jul  3 15:24:38 05[CFG] <x509-certs-ikev2|1> received RADIUS Accounting-Response from server 'primary'</div><div>Jul  3 15:24:38 05[CFG] <x509-certs-ikev2|1> lease fe80::2 by 'CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Services, L=York, ST=North Yorkshire, C=GB' went offline</div><div>Jul  3 15:24:44 14[IKE] <x509-certs-ikev2|3> retransmit 4 of request with message ID 0</div><div>Jul  3 15:24:44 14[NET] <x509-certs-ikev2|3> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:25:26 12[IKE] <x509-certs-ikev2|3> retransmit 5 of request with message ID 0</div><div>Jul  3 15:25:26 12[NET] <x509-certs-ikev2|3> sending packet: from 144.32.128.199[4500] to 144.32.230.183[4500] (76 bytes)</div><div>Jul  3 15:25:40 15[IKE] <x509-certs-ikev2|2> giving up after 5 retransmits</div><div>Jul  3 15:25:40 15[IKE] <x509-certs-ikev2|2> proper IKE_SA delete failed, peer not responding</div><div>Jul  3 15:25:40 15[CFG] <x509-certs-ikev2|2> sending RADIUS Accounting-Request to server 'primary'</div><div>Jul  3 15:25:40 15[CFG] <x509-certs-ikev2|2> received RADIUS Accounting-Response from server 'primary'</div><div>Jul  3 15:25:40 15[CFG] <x509-certs-ikev2|2> lease fe80::3 by 'CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Services, L=York, ST=North Yorkshire, C=GB' went offline</div><div>Jul  3 15:26:41 07[IKE] <x509-certs-ikev2|3> giving up after 5 retransmits</div><div>Jul  3 15:26:41 07[IKE] <x509-certs-ikev2|3> proper IKE_SA delete failed, peer not responding</div><div>Jul  3 15:26:41 07[CFG] <x509-certs-ikev2|3> sending RADIUS Accounting-Request to server 'primary'</div><div>Jul  3 15:26:41 07[CFG] <x509-certs-ikev2|3> received RADIUS Accounting-Response from server 'primary'</div><div>Jul  3 15:26:41 07[CFG] <x509-certs-ikev2|3> lease fe80::4 by 'CN=Alex <a href="mailto:Sharaz@york.ac.uk">Sharaz@york.ac.uk</a>, O=University of York, OU=IT Services, L=York, ST=North Yorkshire, C=GB' went offline</div></div><div><br></div><div><br></div><div>Server config is</div><div><br></div><div><div>conn x509-certs-ikev2</div><div>  leftauth=pubkey</div><div>  left=%any</div><div>  leftcert=vpn10yorkacuk.pem</div><div>  leftid="CN=<a href="http://vpn10.york.ac.uk">vpn10.york.ac.uk</a>, O=University of York, OU=IT Services, L=York, ST=North Yorkshire, C=GB"</div><div>  leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a></div><div>  leftfirewall=yes</div><div>  #leftupdown=/etc/strongswan.d/no_rules</div><div>  right=%any</div><div>  rightsourceip=%itservices,fe80::2/64</div><div>  fragmentation=yes</div><div>  auto=add</div></div><div><br></div><div>... which works with win 10</div><div><br></div></div>