<div dir="ltr">o.k lots of options ... <div>Think I need the charon-nm for our Ubuntu network manager users .. keeps it simple</div><div><br></div><div>Think Il'l try patching charon-nm first</div><div>Thanks</div><div>A</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 1 December 2017 at 14:34, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Alex,<br>
<span class=""><br>
> so you're saying that my radius server also needs to have <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a><br>
> as a SubjAltName in it as well ?<br>
<br>
</span>Yes, that's one option.  Not using the NM plugin is another.  With the<br>
config files you can set the AAA identity to <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a> so it<br>
matches the certificate (or %any so any identity is accepted, the RADIUS<br>
server's certificate just has to be trusted).  You can also patch<br>
charon-nm so it sets the AAA identity, or make it even configurable in<br>
the GUI.<br>
<br>
You can also not use EAP-PEAP and just authenticate the clients with<br>
EAP-MSCHAPv2/MD5/GTC directly (and if necessary secure the connection<br>
between VPN and RADIUS server with IPsec).<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div><br></div>