<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">
<meta name="Generator" content="Microsoft Word 14 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Tahoma;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.MsoAcetate, li.MsoAcetate, div.MsoAcetate
        {mso-style-priority:99;
        mso-style-link:"Sprechblasentext Zchn";
        margin:0cm;
        margin-bottom:.0001pt;
        font-size:8.0pt;
        font-family:"Tahoma","sans-serif";
        mso-fareast-language:EN-US;}
span.SprechblasentextZchn
        {mso-style-name:"Sprechblasentext Zchn";
        mso-style-priority:99;
        mso-style-link:Sprechblasentext;
        font-family:"Tahoma","sans-serif";}
span.E-MailFormatvorlage19
        {mso-style-type:personal-compose;
        font-family:"Calibri","sans-serif";
        color:windowtext;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;
        font-family:"Calibri","sans-serif";
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:70.85pt 70.85pt 2.0cm 70.85pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="DE" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Hi,<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I have several customers which I want to grant access to different subnets. For these customers I create certificates. So basically many customers can connect and have access to their devices. If a certificate gets lost I can create a new
 certificate and remove the old one from the allowed connections. This already works but I have a problem:
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">If a customer is behind a router (FRITZ!BOX 7490 for my test - I guess a very typical situation), only one Windows 10 workstation can connect to the VPN. A second cannot connect even if a different certificate is used. When the first disconnects,
 the second has to wait for abt. 10 minutes, then it can connect. I am no expert and just a few months ago, I nearly didn’t know anything about VPN and not much about network technology at all.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Here is my otherwise working configuration:<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># ipsec.conf - strongSwan IPsec configuration file<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">config setup<o:p></o:p></p>
<p class="MsoNormal">        charondebug="ike 2, cfg 2, chd 2" <o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn windows<o:p></o:p></p>
<p class="MsoNormal">        fragmentation=yes<o:p></o:p></p>
<p class="MsoNormal">        left=%any<o:p></o:p></p>
<p class="MsoNormal">        leftcert=nx03Cert.der<o:p></o:p></p>
<p class="MsoNormal">        leftid="C=DE, O=strongSwan, CN=xxxxxx.com"<o:p></o:p></p>
<p class="MsoNormal">        leftfirewall=yes<o:p></o:p></p>
<p class="MsoNormal">        leftauth=pubkey<o:p></o:p></p>
<p class="MsoNormal">        keyexchange=ikev2<o:p></o:p></p>
<p class="MsoNormal">        right=%any<o:p></o:p></p>
<p class="MsoNormal">        auto=add<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"># individual customers are added here.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">conn baseMob<o:p></o:p></p>
<p class="MsoNormal">        # base engineering<o:p></o:p></p>
<p class="MsoNormal">        also=windows<o:p></o:p></p>
<p class="MsoNormal">        leftsubnet=10.2.255.0/24<o:p></o:p></p>
<p class="MsoNormal">        rightid="C=DE, O=strongSwan, CN=CLIENT_XXX"<o:p></o:p></p>
<p class="MsoNormal">        rightsourceip=10.3.255.0/28<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">include /var/lib/strongswan/ipsec.conf.inc<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I am thankful for any help or hint on how to improve things.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Best Wishes<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Andreas<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</body>
</html>