
<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif">Thanks a lot. Let me load the WIndows logs.</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Feb 19, 2019 at 4:00 PM Kostya Vasilyev <<a href="mailto:kman@fastmail.com">kman@fastmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><u></u>


<div><div><br></div>

<div>On Tue, Feb 19, 2019, at 3:56 PM, MOSES KARIUKI wrote:<br></div>

<blockquote type="cite"><div dir="ltr"><div dir="ltr"><div style="font-family:tahoma,sans-serif">Hello Vasilyev,<br></div>

<div style="font-family:tahoma,sans-serif"><br></div>

<div style="font-family:tahoma,sans-serif">I can't get this to work.  <i>openssl -noout -text -in ca-key.pem. </i>I have tried Googling but this also gives nothing.<br></div>

<div style="font-family:tahoma,sans-serif"><i>        </i><span class="gmail-m_7898980126722432369highlight" style="background-color:transparent"><span class="gmail-m_7898980126722432369colour" style="color:inherit"><span class="gmail-m_7898980126722432369font" style="font-family:Monaco,Menlo,Consolas,"Courier New",monospace"><span class="gmail-m_7898980126722432369size" style="font-size:inherit">openssl x509 -noout -text -in </span></span></span></span>ca-key.pem<br></div>

<div style="font-family:tahoma,sans-serif"><br></div>

<div style="font-family:tahoma,sans-serif">Any ideas. Sorry I am a newbie on this one.<br></div>

</div>

</div>

</blockquote><div><br></div>

<div>You want to do this with the certificate - not its key.<br></div>

<div><br></div>

<div>But like I said it could be a red herring too - as Il Ka just wrote, it could be that Windows client tries several protos including PPTP/GRE, L2TP and so on ...<br></div>

<div><br></div>

<div>... which is a reason to make sure that Windows it's not trying to use some other protocol like PPTP or L2TP, and that you're not trying to use OpenVPN or some such.<br></div>

<div><br></div>

<div>Tom Rymes just suggested you check your Windows connection properties. I second this.</div>

<div><br></div>

<div>-- K</div>

<div><br></div>

<blockquote type="cite"><div dir="ltr"><div dir="ltr"><div style="font-family:tahoma,sans-serif"><br></div>

</div>

</div>

<div><br></div>

<div><div dir="ltr">On Tue, Feb 19, 2019 at 12:40 PM Kostya Vasilyev <<a href="mailto:kman@fastmail.com" target="_blank">kman@fastmail.com</a>> wrote:<br></div>

<blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><br></div>

<div>On Tue, Feb 19, 2019, at 12:34 PM, IL Ka wrote:<br></div>

<div> > <br></div>

<div> > On Tue, Feb 19, 2019 at 8:48 AM Kostya Vasilyev <<a href="mailto:kman@fastmail.com" target="_blank">kman@fastmail.com</a>> wrote:<br></div>

<div> >> Looks like the connection is "almost there" but gets blocked by your firewall (UFW)<br></div>

<div> >>  <br></div>

<div> >>  Very end of your log:<br></div>

<div> >>  <br></div>

<div> >>  Feb 19 02:10:01 VM-e2b7 charon: 11[NET] sending packet: from 102.1*9.2**.***[4500] to 154.77.***.**[4500] (772 bytes)<br></div>

<div> >>  Feb 19 02:10:01 VM-e2b7 kernel: [ 2543.189073] [UFW BLOCK] IN=ens3 OUT= MAC=06:97:9c:00:00:8f:00:1d:b5:c0:a7:c0:08:00 SRC=154.77.***.** DST=102.1*9.2**.*** LEN=52 TOS=0x10 PREC=0x20 TTL=116 ID=27223 DF PROTO=TCP SPT=54229 DPT=443 WINDOW=17520 RES=0x00 SYN URGP=0<br></div>

<div> >>  Feb 19 02:10:30 VM-e2b7 charon: 14[JOB] deleting half open IKE_SA with 154.77.***.** after timeout<br></div>

<div> > <br></div>

<div> > <br></div>

<div> > DPT=443 looks like OpenVPN or HTTPS. <br></div>

<div> > IKE uses UDP/500 (or UDP/4500 in case of NAT).<br></div>

<div> > <br></div>

<div> > I am not sure this message is somehow connected to problem.<br></div>

<div> > <br></div>

<div> <br></div>

<div> Could be unrelated - good find on the EAP-Identity<br></div>

<div> <br></div>

<div> But it could also be the client trying to fetch the CA certificate's CRL.<br></div>

<div> <br></div>

<div> Moses can you check if your CA cert has a CRL?<br></div>

<div> <br></div>

<div> openssl -text -noout -in your_CA_cert<br></div>

<div> <br></div>

<div> Is there a CRL? Is it an https:// link?<br></div>

<div> <br></div>

<div>     X509v3 CRL Distribution Points:<br></div>

<div> <br></div>

<div>         Full Name:<br></div>

<div>           URI:https://......<br></div>

<div> <br></div>

<div> -- K<br></div>

</blockquote></div>

</blockquote><div><br></div>

</div>


</blockquote></div>