<div dir="ltr">o.k. so guess I'll build a freeradius server on the SSwan VPN box using <a href="http://vpn.york.ac.uk">vpn.york.ac.uk</a> cert and then proxy stuff to the mail auth service<div>A</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 4 December 2017 at 10:31, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Alex<br>
<span class=""><br>
> So if my client is connecting to <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a>,<br>
> the cert that needs installing is <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a><br>
> ..... swhere /etc/ipsed.d/aacerts /etc/ipsed.d/certs ?<br>
<br>
</span>This refers to configuring the certificate in the GUI (in which case<br>
only that certificate is loaded the certificates in the CA dir are not).<br>
 However, "server certificate for IKEv2" != "RADIUS server certificate<br>
for EAP-PEAP/TTLS or other TLS based EAP methods".  So configuring that<br>
certificate won't help you if your RADIUS server still uses an identity<br>
that is not contained in the configured certificate.<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div><br></div>