<div dir="ltr"><div>I figured out earlier issues I mentioned. I had to use the Apple Configurator to get around a bug that still persists in iOS and Mac OS X where it tries to connect using EAP even if you specify a certificate. Anyway, when I connect now, I don't see anything that looks like an error to me in the log (I knocked the level down to 1 to be easier for me to read). But on the client side, it immediately disconnects. After a long enough wait, I see more messages, which look to me like the server's trying to reconnect. As before, I search and replaced the actual domains and ip addresses with dummy values (<a href="http://example.com">example.com</a>, 1.2.3.4, 5.6.7.8)<br><br>Nov 20 07:17:23 ik1-327-23579 charon: 16[NET] received packet: from 5.6.7.8[500] to 1.2.3.4[500] (432 bytes)<br>Nov 20 07:17:23 ik1-327-23579 charon: 16[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(REDIR_SUP) N(NATD_S_IP) N(NATD_D_IP) N(FRAG_SUP) ]<br>Nov 20 07:17:23 ik1-327-23579 charon: 16[IKE] 5.6.7.8 is initiating an IKE_SA<br>Nov 20 07:17:23 ik1-327-23579 charon: 16[IKE] remote host is behind NAT<br>Nov 20 07:17:23 ik1-327-23579 charon: 16[IKE] sending cert request for "C=NL, O=Example Company, CN=strongSwan Root CA"<br>Nov 20 07:17:23 ik1-327-23579 charon: 16[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(MULT_AUTH) ]<br>Nov 20 07:17:23 ik1-327-23579 charon: 16[NET] sending packet: from 1.2.3.4[500] to 5.6.7.8[500] (465 bytes)<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[NET] received packet: from 5.6.7.8[1027] to 1.2.3.4[4500] (1772 bytes)<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[ENC] unknown attribute type (25)<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[ENC] parsed IKE_AUTH request 1 [ IDi N(INIT_CONTACT) N(MOBIKE_SUP) IDr AUTH CERT CPRQ(ADDR DHCP DNS MASK ADDR6 DHCP6 DNS6 (25)) N(ESP_TFC_PAD_N) N(NON_FIRST_FRAG) SA TSi TSr ]<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] received end entity cert "C=NL, O=Example Company, CN=<a href="mailto:thomas@example.com">thomas@example.com</a>"<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG] looking for peer configs matching 1.2.3.4[<a href="http://vpn.example.com">vpn.example.com</a>]...5.6.7.8[<a href="mailto:thomas@example.com">thomas@example.com</a>]<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG] selected peer config 'IPSec-IKEv2'<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG]   using certificate "C=NL, O=Example Company, CN=<a href="mailto:thomas@example.com">thomas@example.com</a>"<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG]   using trusted ca certificate "C=NL, O=Example Company, CN=strongSwan Root CA"<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG] checking certificate status of "C=NL, O=Example Company, CN=<a href="mailto:thomas@example.com">thomas@example.com</a>"<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG] certificate status is not available<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG]   reached self-signed root ca with a path length of 0<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] authentication of '<a href="mailto:thomas@example.com">thomas@example.com</a>' with RSA signature successful<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] received ESP_TFC_PADDING_NOT_SUPPORTED, not using ESPv3 TFC padding<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] peer supports MOBIKE<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] authentication of '<a href="http://vpn.example.com">vpn.example.com</a>' (myself) with RSA signature successful<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] IKE_SA IPSec-IKEv2[2] established between 1.2.3.4[<a href="http://vpn.example.com">vpn.example.com</a>]...5.6.7.8[<a href="mailto:thomas@example.com">thomas@example.com</a>]<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] sending end entity cert "C=NL, O=Example Company, CN=<a href="http://vpn.example.com">vpn.example.com</a>"<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] peer requested virtual IP %any<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG] reassigning offline lease to '<a href="mailto:thomas@example.com">thomas@example.com</a>'<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] assigning virtual IP 10.42.42.1 to peer '<a href="mailto:thomas@example.com">thomas@example.com</a>'<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] peer requested virtual IP %any6<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[CFG] reassigning offline lease to '<a href="mailto:thomas@example.com">thomas@example.com</a>'<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] assigning virtual IP 2002:25f7:7489:3::1 to peer '<a href="mailto:thomas@example.com">thomas@example.com</a>'<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[IKE] CHILD_SA IPSec-IKEv2{2} established with SPIs c2da4666_i 03030c57_o and TS <a href="http://0.0.0.0/0">0.0.0.0/0</a> === <a href="http://10.42.42.1/32">10.42.42.1/32</a> 2002:25f7:7489:3::1/128<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR ADDR6 DNS DNS6) SA TSi TSr N(MOBIKE_SUP) N(ADD_6_ADDR) ]<br>Nov 20 07:17:23 ik1-327-23579 charon: 01[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (2252 bytes)<br><br></div>After a long delay:<br><br>Nov 20 07:22:23 ik1-327-23579 charon: 12[IKE] sending DPD request<br>Nov 20 07:22:23 ik1-327-23579 charon: 12[ENC] generating INFORMATIONAL request 0 [ ]<br>Nov 20 07:22:23 ik1-327-23579 charon: 12[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (76 bytes)<br>Nov 20 07:22:27 ik1-327-23579 charon: 04[IKE] retransmit 1 of request with message ID 0<br>Nov 20 07:22:27 ik1-327-23579 charon: 04[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (76 bytes)<br>Nov 20 07:22:34 ik1-327-23579 charon: 14[IKE] retransmit 2 of request with message ID 0<br>Nov 20 07:22:34 ik1-327-23579 charon: 14[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (76 bytes)<br>Nov 20 07:22:47 ik1-327-23579 charon: 12[IKE] retransmit 3 of request with message ID 0<br>Nov 20 07:22:47 ik1-327-23579 charon: 12[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (76 bytes)<br>Nov 20 07:23:10 ik1-327-23579 charon: 13[IKE] retransmit 4 of request with message ID 0<br>Nov 20 07:23:10 ik1-327-23579 charon: 13[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (76 bytes)<br>Nov 20 07:23:52 ik1-327-23579 charon: 01[IKE] retransmit 5 of request with message ID 0<br>Nov 20 07:23:52 ik1-327-23579 charon: 01[NET] sending packet: from 1.2.3.4[4500] to 5.6.7.8[1027] (76 bytes)<br><div><br><br></div></div>