<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    On 7/5/2017 10:20, Tobias Brunner wrote:<br>
    <blockquote type="cite"
      cite="mid:0867cb68-4d3c-0f1d-13ac-ebb6a786b7f3@strongswan.org">
      <pre wrap="">Hi Karl,

</pre>
      <blockquote type="cite">
        <pre wrap="">Yes.  If the frag-eating monster does not get me BOTH certificates work
(when sent from the server with the switch turned on.)
</pre>
      </blockquote>
      <pre wrap="">
OK, I see what the problem is.  If no certificate is exchanged the used
certificate does not end up in the remote auth-cfg in a way currently
used when trying to check the configured identity (hostname here)
against the subjectAlternativeName extension of the certificate (only
received certificates are currently considered there).  I changed that
in the local-cert-san-check branch.
As a workaround you could either change the identity the server uses
(leftid) to genesis.denninger.net, or set the server identity in the
client profile to the one the server actually uses, which is currently
the full subject DN of the certificate.

Regards,
Tobias
</pre>
    </blockquote>
    That works; the only (rational) thing to do there is to set the
    leftid on the server, which does work (and is rational since it
    isn't going to change anyway.)<br>
    <br>
    Now if I can get a Win10 config that also doesn't need frag passing
    to work until the authentication is complete (at which point it
    works just fine.)<br>
    <br>
    <div class="moz-signature">-- <br>
      Karl Denninger<br>
      <a href="mailto:karl@denninger.net">karl@denninger.net</a><br>
      <i>The Market Ticker</i><br>
      <font size="-2"><i>[S/MIME encrypted email preferred]</i></font>
    </div>
  </body>
</html>