<div>Hello,<br></div><div><br></div><div>I am running up against this auth failed message - I am unable to get authenticated to my strongSwan server using EAP user/password. I have read the support pages and have tried the usable examples as well, but can't get authenticated with any configuration I've tried yet. I feel there is some fundamental thing I missed but I can't see it. <br></div><div><br></div><div>I'm using the Ubuntu network manager (although I have also tried the strongSwan Android app to ensure I was not missing something). I have my strongSwan server set as the Gateway, the server's certificate loaded, the Authentication method set to EAP and the correct username and password entered: <a href="https://snag.gy/OyRGJr.jpg">https://snag.gy/OyRGJr.jpg</a><br></div><div><br></div><div>I've included what I suspect are the relevant files and logs as indicated on the HelpRequest page.<br></div><div><br></div><div><div>ipsec.conf<br></div><div><br></div><div>config setup<br></div></div><div>  charondebug="ike 1, knl 1, cfg 0"<br></div><div>  uniqueids=no<br></div><div><br></div><div>conn ikev2-vpn<br></div><div>  auto=add<br></div><div>  compress=no<br></div><div>  type=tunnel<br></div><div>  keyexchange=ikev2<br></div><div>  fragmentation=yes<br></div><div>  forceencaps=yes<br></div><div>  ike=aes256-sha1-modp1024,3des-sha1-modp1024!<br></div><div>  esp=aes256-sha1,3des-sha1!<br></div><div>  dpdaction=clear<br></div><div>  dpddelay=300s<br></div><div>  rekey=no<br></div><div>  left=%any<br></div><div>  leftid=@strongswan<br></div><div>  leftcert=/etc/ipsec.d/certs/vpn-server-cert.pem<br></div><div>  leftsendcert=always<br></div><div>  leftsubnet=0.0.0.0/0<br></div><div>  right=%any<br></div><div>  rightid=%any<br></div><div>  rightauth=eap-mschapv2<br></div><div>  rightsourceip=10.10.10.0/24<br></div><div>  rightdns=8.8.8.8,8.8.4.4<br></div><div>  rightsendcert=never<br></div><div>  eap_identity=%identity<br></div><div><br></div><div>ipsec.secrets<br></div><div><br></div><div>: PSK "foobarblah"<br></div><div>: RSA /etc/ipsec.d/private/vpn-server-key.pem<br></div><div>user1 : EAP "munged"<br></div><div><br></div><div>ipsec statusall<br></div><div><br></div><div>Status of IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-97-generic, x86_64):<br></div><div>  uptime: 24 minutes, since Oct 14 21:51:15 2017<br></div><div>  malloc: sbrk 1769472, mmap 0, used 565024, free 1204448<br></div><div>  worker threads: 7 of 16 idle, 5/0/4/0 working, job queue: 0/0/0/0, scheduled: 0<br></div><div>  loaded plugins: charon test-vectors aes rc2 sha1 sha2 md4 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac ccm gcm attr kernel-libipsec kernel-netlink resolve socket-default connmark farp stroke updown eap-identity eap-sim eap-sim-pcsc eap-aka eap-aka-3gpp2 eap-simaka-pseudonym eap-simaka-reauth eap-md5 eap-gtc eap-mschapv2 eap-dynamic eap-radius eap-tls eap-ttls eap-peap eap-tnc xauth-generic xauth-eap xauth-pam xauth-noauth tnc-tnccs tnccs-20 tnccs-11 tnccs-dynamic dhcp lookip error-notify certexpire led addrblock unity<br></div><div>Virtual IP pools (size/online/offline):<br></div><div>  10.10.10.0/24: 254/0/0<br></div><div>Listening IP addresses:<br></div><div>  172.20.9.175<br></div><div>  2602:ffb6:2:0:f816:3eff:feb7:3803<br></div><div>Connections:<br></div><div>   ikev2-vpn:  %any...%any  IKEv2, dpddelay=300s<br></div><div>   ikev2-vpn:   local:  [my.strongswan.com] uses public key authentication<br></div><div>   ikev2-vpn:    cert:  "C=US, O=VPN Server, CN=my.strongswan.com"<br></div><div>   ikev2-vpn:   remote: uses EAP_MSCHAPV2 authentication with EAP identity '%any'<br></div><div>   ikev2-vpn:   child:  0.0.0.0/0 === dynamic TUNNEL, dpdaction=clear<br></div><div>Security Associations (0 up, 0 connecting):<br></div><div>  none<br></div><div><br></div><div><br></div><div>Log<br></div><div><br></div><div>Oct 14 22:08:14 my charon: 14[NET] received packet: from 142.66.15.26[46644] to 172.20.9.175[500] (1256 bytes)<br></div><div>Oct 14 22:08:14 my charon: 14[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]<br></div><div>Oct 14 22:08:14 my charon: 14[IKE] 142.66.15.26 is initiating an IKE_SA<br></div><div>Oct 14 22:08:14 my charon: 14[IKE] local host is behind NAT, sending keep alives<br></div><div>Oct 14 22:08:14 my charon: 14[IKE] remote host is behind NAT<br></div><div>Oct 14 22:08:14 my charon: 14[IKE] DH group MODP_2048 inacceptable, requesting MODP_1024<br></div><div>Oct 14 22:08:14 my charon: 14[ENC] generating IKE_SA_INIT response 0 [ N(INVAL_KE) ]<br></div><div>Oct 14 22:08:14 my charon: 14[NET] sending packet: from 172.20.9.175[500] to 142.66.15.26[46644] (38 bytes)<br></div><div>Oct 14 22:08:14 my charon: 13[NET] received packet: from 142.66.15.26[46644] to 172.20.9.175[500] (1128 bytes)<br></div><div>Oct 14 22:08:14 my charon: 13[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]<br></div><div>Oct 14 22:08:14 my charon: 13[IKE] 142.66.15.26 is initiating an IKE_SA<br></div><div>Oct 14 22:08:14 my charon: 13[IKE] local host is behind NAT, sending keep alives<br></div><div>Oct 14 22:08:14 my charon: 13[IKE] remote host is behind NAT<br></div><div>Oct 14 22:08:14 my charon: 13[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) N(MULT_AUTH) ]<br></div><div>Oct 14 22:08:14 my charon: 13[NET] sending packet: from 172.20.9.175[500] to 142.66.15.26[46644] (328 bytes)<br></div><div>Oct 14 22:08:14 my charon: 16[NET] received packet: from 142.66.15.26[4500] to 172.20.9.175[4500] (364 bytes)<br></div><div>Oct 14 22:08:14 my charon: 16[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr CPRQ(ADDR DNS NBNS) SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]<br></div><div>Oct 14 22:08:14 my charon: 16[IKE] peer supports MOBIKE<br></div><div>Oct 14 22:08:14 my charon: 16[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]<br></div><div>Oct 14 22:08:14 my charon: 16[NET] sending packet: from 172.20.9.175[4500] to 142.66.15.26[4500] (76 bytes)<br></div><div><br></div><div>Dies here and my client says "VPN connection failed"<br></div><div><br></div><div>Any help would be appreciated. Thank you.<br></div><div><br></div><div><br></div><div><br></div>