<div dir="ltr">> But it could also be the client trying to fetch the CA certificate's CRL.<br><div>I now think you are right.</div><div><br></div><div>Client tries to fetch whole cert chain and fails to do so.</div><div>It explains both: packet with DST=443 and client timeout.</div><div><br></div><div>Whole chain must be installed on Win10 to sovle it</div></div><div id="DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br> <table style="border-top:1px solid #d3d4de">
        <tr>
      <td style="width:55px;padding-top:18px"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank"><img src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png" alt="" width="46" height="29" style="width: 46px; height: 29px;"></a></td>
                <td style="width:470px;padding-top:17px;color:#41424e;font-size:13px;font-family:Arial,Helvetica,sans-serif;line-height:18px">Без вирусов. <a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=webmail" target="_blank" style="color:#4453ea">www.avg.com</a>               </td>
        </tr>
</table>
<a href="#DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2" width="1" height="1"></a></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 19, 2019 at 12:40 PM Kostya Vasilyev <<a href="mailto:kman@fastmail.com">kman@fastmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br>
On Tue, Feb 19, 2019, at 12:34 PM, IL Ka wrote:<br>
> <br>
> On Tue, Feb 19, 2019 at 8:48 AM Kostya Vasilyev <<a href="mailto:kman@fastmail.com" target="_blank">kman@fastmail.com</a>> wrote:<br>
>> Looks like the connection is "almost there" but gets blocked by your firewall (UFW)<br>
>>  <br>
>>  Very end of your log:<br>
>>  <br>
>>  Feb 19 02:10:01 VM-e2b7 charon: 11[NET] sending packet: from 102.1*9.2**.***[4500] to 154.77.***.**[4500] (772 bytes)<br>
>>  Feb 19 02:10:01 VM-e2b7 kernel: [ 2543.189073] [UFW BLOCK] IN=ens3 OUT= MAC=06:97:9c:00:00:8f:00:1d:b5:c0:a7:c0:08:00 SRC=154.77.***.** DST=102.1*9.2**.*** LEN=52 TOS=0x10 PREC=0x20 TTL=116 ID=27223 DF PROTO=TCP SPT=54229 DPT=443 WINDOW=17520 RES=0x00 SYN URGP=0<br>
>>  Feb 19 02:10:30 VM-e2b7 charon: 14[JOB] deleting half open IKE_SA with 154.77.***.** after timeout<br>
> <br>
> <br>
> DPT=443 looks like OpenVPN or HTTPS. <br>
> IKE uses UDP/500 (or UDP/4500 in case of NAT).<br>
> <br>
> I am not sure this message is somehow connected to problem.<br>
> <br>
<br>
Could be unrelated - good find on the EAP-Identity<br>
<br>
But it could also be the client trying to fetch the CA certificate's CRL.<br>
<br>
Moses can you check if your CA cert has a CRL?<br>
<br>
openssl -text -noout -in your_CA_cert<br>
<br>
Is there a CRL? Is it an https:// link?<br>
<br>
    X509v3 CRL Distribution Points:<br>
<br>
        Full Name:<br>
          URI:https://......<br>
<br>
-- K<br>
</blockquote></div>