<div dir="ltr">So, from the documentation on the Network plugin<div><br></div><div>...<span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:10.8px">If you configure the gateway certificate directly on the clients, there are no requirements to the certificate. If you deploy CA certificates (supported since </span><a class="gmail-wiki-page" href="https://wiki.strongswan.org/projects/strongswan/wiki/431" style="color:rgb(138,0,32);text-decoration-line:none;word-wrap:break-word;font-weight:bold;font-family:Verdana,sans-serif;font-size:10.8px">4.3.1</a><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:10.8px">), the gateway certificate will need a </span><em style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:10.8px">subjectAltName</em><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:10.8px"> including the host name of the gateway (the same you enter in the clients configuration). ......</span></div><div><span style="color:rgb(54,0,12);font-family:Verdana,sans-serif;font-size:10.8px"><br></span></div><div><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:10.8px">So if my client is connecting to <a href="http://vpn.york.ac.uk">vpn.york.ac.uk</a>, the cert that needs installing is <a href="http://vpn.york.ac.uk">vpn.york.ac.uk</a> ..... swhere /etc/ipsed.d/aacerts /etc/ipsed.d/certs ?</span></font></div><div><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:10.8px"><br></span></font></div><div><font color="#36000c" face="Verdana, sans-serif"><span style="font-size:10.8px">A</span></font></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 1 December 2017 at 16:05, Alex Sharaz <span dir="ltr"><<a href="mailto:alex.sharaz@york.ac.uk" target="_blank">alex.sharaz@york.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">or I could install freeradius on the strongswan server and let it handle the eap side of things and then there is a virtual server that proxies off the inner tunnel stuff to another server for authentication. That way the radius server uses the strongswan server cert  so we don't have this problem. <div><br></div><div>Would be better than changing code and sswan config still uses eap-radius but points to itself</div><span class="HOEnZb"><font color="#888888"><div>A</div></font></span></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On 1 December 2017 at 15:21, Alex Sharaz <span dir="ltr"><<a href="mailto:alex.sharaz@york.ac.uk" target="_blank">alex.sharaz@york.ac.uk</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">o.k lots of options ... <div>Think I need the charon-nm for our Ubuntu network manager users .. keeps it simple</div><div><br></div><div>Think Il'l try patching charon-nm first</div><div>Thanks</div><span class="m_-3228821104919550050HOEnZb"><font color="#888888"><div>A</div></font></span></div><div class="m_-3228821104919550050HOEnZb"><div class="m_-3228821104919550050h5"><div class="gmail_extra"><br><div class="gmail_quote">On 1 December 2017 at 14:34, Tobias Brunner <span dir="ltr"><<a href="mailto:tobias@strongswan.org" target="_blank">tobias@strongswan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Alex,<br>
<span><br>
> so you're saying that my radius server also needs to have <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a><br>
> as a SubjAltName in it as well ?<br>
<br>
</span>Yes, that's one option.  Not using the NM plugin is another.  With the<br>
config files you can set the AAA identity to <a href="http://vpn.york.ac.uk" rel="noreferrer" target="_blank">vpn.york.ac.uk</a> so it<br>
matches the certificate (or %any so any identity is accepted, the RADIUS<br>
server's certificate just has to be trusted).  You can also patch<br>
charon-nm so it sets the AAA identity, or make it even configurable in<br>
the GUI.<br>
<br>
You can also not use EAP-PEAP and just authenticate the clients with<br>
EAP-MSCHAPv2/MD5/GTC directly (and if necessary secure the connection<br>
between VPN and RADIUS server with IPsec).<br>
<br>
Regards,<br>
Tobias<br>
</blockquote></div><br></div>
</div></div></blockquote></div><br></div>
</div></div></blockquote></div><br></div>