<div dir="ltr">Hello<div><br></div><div>I have been using the Android-Strongswan-IKEv2-Client (on a Android-v5.1 run Motorola-E series 3G phone)...</div><div><br></div><div>- with FreeRadius-serverr-v3.x for AAA authentication of the vpn clients. </div><div>- The Strongswan-v5.5.1 is running on a Ubuntu-14x-LTS host</div><div>- i also have some hosts in the lan-side of the VPN-server to which the clients connect after tunnel is up.</div><div><br></div><div>The usage topology-setup is as below</div><div><br></div><div>(freeradius-server)----(lan)[Strongswan-server](wan)-----internet------[Android-Phone]</div><div><br></div><div>- Iam using "rightauth=eap-radius" and "eap_identity=%any" always</div><div>- Iam also using "leftsendcert=always" and "rightsendcert=never" for all EAP-based server connection entries</div><div><br></div><div>I have some queries on using the supported EAP methods on this client</div><div><br></div><div>The data/support-info says, this client supports EAP-MD5/EAP-MSCHAPv2/EAP-GTC/EAP-TLS (and also there is a EAP-TNC method which seems to be EAP-TTLS as per the observations on the Radius-server log-traces)</div><div><br></div><div>Now in the Strongswan-IKEv2 client-menu the following is available for selection and which i tried each of them (and my observations and queries are listed under each menu-item)</div><div><br></div><div><br></div><div>1. IKEv2-EAP (username/password)</div><div><br></div><div>- Here there is NO client-cert used</div><div>- only point to the imported CA-cert (that signed the Server-cert) </div><div>- Username-Password authenticated by FreeRadius-server</div><div>- Tunnel is successfully established & UP.<br></div><div><br></div><div>- Observed that the client responds with EAP-MD5 as the method when queried by server</div><div><br></div><div>- My query for this menu-item is </div><div><br></div><div>a) How to enable/configure the this client to send or use ONLY EAP-MSCHAPv2 as the method for user-authentication</div><div>b) The same server connection entry is used for Windows-IKEv2 client and here MSCHAPv2 is used and successfully authenticated by the same radius-server</div><div>c) So iam assuming here that we need to do something at the client-end only</div><div><br></div><div>d) - iam assuming as per what i have read..EAP-GTC requires a PEAP tunnel (to radius-server)...so is this the menu where i can use PEAP WITH EAP-GTC?</div><div><br></div><div><br></div><div>3. IKEv2 Certificate + EAP (username/password)<br></div><div><br></div><div>- What exactly this menu for? I mean what type of IKEv2-authentication does this support?</div><div><br></div><div><div>- When i configure this menu selection...what should be the config on server side?<br></div><div><br></div><div>- The requirement to mandatorily configure/select a client-cert on this client + username-passwd makes it looked like  a multiauthentication and i therefore configured with the below options on the Strongswan server</div><div><br></div><div>-----------------</div><div>leftauth=pubkey,</div><div>rightauth=pubkey</div><div><div>rightauth2=eap-radius</div></div><div>leftid=<<a href="http://vpnsrvgw1.test.net">vpnsrvgw1.test.net</a>><br></div><div>rightid=*@<a href="http://test.net">test.net</a></div><div>eap_identity=%any<br></div><div>------------------------</div><div><br></div><div>- And it worked very nicely....The Tunnel is established successfully after the EAP-MD5 username-auth was also validated by the radius server</div><div><br></div><div>Observation and query is that this menu-item can only be supported by only Strongswan-server configured speicifically with rightauth2...This method is NOT so prevalent or used in any other Interoperable VPN-servers as far as i know...</div><div><br></div><div> </div><div>4. IKEv2 EAP-TNC (username/passwd)</div></div><div><br></div><div>when i tried this with standard server config for EAP-TLS...radius was actually trying EAP-TTLS...or something like that</div><div><br></div><div>- effectively this seems to work with EAP-TTLS...so what is the required configuration on server to use this menu selection?</div><div><br></div><div><br></div><div>In summary, my main query (among other queries above) is how to configure strongswan server and this client to use EAP-GTC...using Radius-server for AAA</div><div><br></div><div>thanks & regards</div><div>Rajiv</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div>