<div dir="ltr">or I could install freeradius on the strongswan server and let it handle the eap side of things and then there is a virtual server that proxies off the inner tunnel stuff to another server for authentication. That way the radius server uses the strongswan server cert  so we don't have this problem. <div><br></div><div>Would be better than changing code and sswan config still uses eap-radius but points to itself</div><div>A</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 1 December 2017 at 15:21, Alex Sharaz <span dir="ltr"><<a href="mailto:alex.sharaz@york.ac.uk" target="_blank">alex.sharaz@york.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">o.k lots of options ... <div>Think I need the charon-nm for our Ubuntu network manager users .. keeps it simple</div><div><br></div><div>Think Il'l try patching charon-nm first</div><div>Thanks</div><span class="HOEnZb"><font color="#888888"><div>A</div></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On 1 December 2017 at 14:34, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Alex,<br>
<span><br>
> so you're saying that my radius server also needs to have <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a><br>
> as a SubjAltName in it as well ?<br>
<br>
</span>Yes, that's one option.  Not using the NM plugin is another.  With the<br>
config files you can set the AAA identity to <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a> so it<br>
matches the certificate (or %any so any identity is accepted, the RADIUS<br>
server's certificate just has to be trusted).  You can also patch<br>
charon-nm so it sets the AAA identity, or make it even configurable in<br>
the GUI.<br>
<br>
You can also not use EAP-PEAP and just authenticate the clients with<br>
EAP-MSCHAPv2/MD5/GTC directly (and if necessary secure the connection<br>
between VPN and RADIUS server with IPsec).<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>