<div dir="ltr"><div dir="ltr">Hi<div><br></div><div>Try configuring your vpn-server as below:</div><div><br></div><div>For Split-Tunnel:<br>---------------------<br><br>conn WindowsAndroidOtherClients_wEAP<br>  Â  Â  Â  left=<your-public-internet-ipaddr-here><br>  Â  Â  Â  right=%any<br>  Â  Â  Â  leftsubnet=<a href="http://192.168.0.0/22,192.168.12.0/22,192.168.21.0/24">192.168.0.0/22,192.168.12.0/22,192.168.21.0/24</a><br>  Â  Â  Â  rightsourceip=<a href="http://10.254.236.2/22">10.254.236.2/22</a><br>  Â  Â  Â  rightdns=192.168.0.2,192.168.12.2,192.168.21.2<br>  Â  Â  Â  ikelifetime=86400s<br>  Â  Â  Â  lifetime=43200s<br>  Â  Â  Â  rekey=no<br>  Â  Â  Â  reauth=no<br>  Â  Â  Â  dpddelay=40<br>  Â  Â  Â  dpdtimeout=120<br>  Â  Â  Â  dpdaction=clear<br>  Â  Â  Â  modeconfig=pull<br>  Â  Â  Â  ike=aes256-sha1-modp1024!<br>  Â  Â  Â  esp=aes256-sha1!<br>  Â  Â  Â  keyexchange=ikev2<br>  Â  Â  Â  leftauth=pubkey<br>  Â  Â  Â  rightauth=eap-radius<br>  Â  Â  Â  eap_identity=%any<br>  Â  Â  Â  leftsendcert=always<br>  Â  Â  Â  rightsendcert=never<br>  Â  Â  Â  leftid=<a href="http://vpn.domain.org">vpn.domain.org</a><br>  Â  Â  Â  rightid=%any<br>  Â  Â  Â  leftcert=vpnserverCert.pem<br>  Â  Â  Â  auto=add<br><br><br>Or for FULL-Tunnel<br>-------------------<br><br><br>conn WindowsAndroidOtherClients_wEAP<br>  Â  Â  Â  left=<your-public-internet-ipaddr-here><br>  Â  Â  Â  right=%any<br>  Â  Â  Â  leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>  Â  Â  Â  rightsourceip=<a href="http://10.254.236.2/22">10.254.236.2/22</a><br>  Â  Â  Â  rightdns=192.168.0.2,192.168.12.2,192.168.21.2<br>  Â  Â  Â  ikelifetime=86400s<br>  Â  Â  Â  lifetime=43200s<br>  Â  Â  Â  rekey=no<br>  Â  Â  Â  reauth=no<br>  Â  Â  Â  dpddelay=40<br>  Â  Â  Â  dpdtimeout=120<br>  Â  Â  Â  dpdaction=clear<br>  Â  Â  Â  modeconfig=pull<br>  Â  Â  Â  ike=aes256-sha1-modp1024!<br>  Â  Â  Â  esp=aes256-sha1!<br>  Â  Â  Â  keyexchange=ikev2<br>  Â  Â  Â  leftauth=pubkey<br>  Â  Â  Â  rightauth=eap-radius<br>  Â  Â  Â  eap_identity=%any<br>  Â  Â  Â  leftsendcert=always<br>  Â  Â  Â  rightsendcert=never<br>  Â  Â  Â  leftid=<a href="http://vpn.domain.org">vpn.domain.org</a><br>  Â  Â  Â  rightid=%any<br>  Â  Â  Â  leftcert=vpnserverCert.pem<br>  Â  Â  Â  auto=add Â  Â  Â  Â <br><br></div><div>The above is a working config that i use for both windows-native-ikev2 and android clients</div><div><br></div><div>thanks & regards</div><div>Rajiv</div><div><br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Dec 20, 2021 at 4:42 PM Gregory Edigarov <<a href="mailto:edigarov@qarea.com">edigarov@qarea.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello Everybody.<br>
<br>
here's my strongswan setup:<br>
conn vpn-default<br>
  Â  auto=add<br>
  Â  compress=no<br>
  Â  type=tunnel<br>
  Â  keyexchange=ikev2<br>
  Â  ike=aes256-sha1-modp1024 <br>
  Â  esp=aes256-sha1<br>
  Â  fragmentation=yes<br>
  Â  forceencaps=yes<br>
  Â  dpdaction=clear<br>
  Â  dpddelay=300s<br>
  Â  rekey=no<br>
  Â  left=%any<br>
  Â  leftid=@<a href="http://vpn.domain.org" rel="noreferrer" target="_blank">vpn.domain.org</a><br>
  Â  leftauth=pubkey<br>
  Â  leftcert=certificate.pem<br>
  Â  leftsendcert=always<br>
  Â  #leftsubnet=<a href="http://0.0.0.0/0" rel="noreferrer" target="_blank">0.0.0.0/0</a><br>
  Â  leftsubnet=<a href="http://192.168.0.0/22,192.168.12.0/22,192.168.21.0/24" rel="noreferrer" target="_blank">192.168.0.0/22,192.168.12.0/22,192.168.21.0/24</a><br>
  Â  leftfirewall=yes<br>
  Â  leftsourceip=%config<br>
  Â  right=%any<br>
  Â  rightid=%any<br>
  Â  rightauth=eap-radius<br>
  Â  rightsourceip=<a href="http://10.254.236.2/22" rel="noreferrer" target="_blank">10.254.236.2/22</a><br>
  Â  rightdns=192.168.0.2,192.168.12.2,192.168.21.2<br>
  Â  rightsendcert=never<br>
  Â  eap_identity=%identity<br>
<br>
the server uses letsencrypt certificates, stored as:<br>
<br>
  Â 270517  Â  Â  4 -rw-r--r--  Â 1 root  Â  Â root  Â  Â  Â  Â 3750 Nov 18 18:54<br>
  Â /etc/ipsec.d/cacerts/ca.pem 270515  Â  Â  4 -rw-r--r--  Â 1 root<br>
  Â root  Â  Â  Â  Â 1838 Nov 18 18:54 /etc/ipsec.d/certs/certificate.pem<br>
  Â 270520  Â  Â  4 -rw-r--r--  Â 1 root  Â  Â root  Â  Â  Â  Â 1704 Nov 18 18:55<br>
  Â /etc/ipsec.d/private/key.pem<br>
<br>
which is valid:<br>
  Â  Â  Â  Issuer: C = US, O = Let's Encrypt, CN = R3<br>
  Â  Â  Â  Validity<br>
  Â  Â  Â  Â  Â  Not Before: Nov 18 14:19:34 2021 GMT<br>
  Â  Â  Â  Â  Â  Not After : Feb 16 14:19:33 2022 GMT<br>
  Â  Â  Â  Subject: CN = <a href="http://vpn.domain.org" rel="noreferrer" target="_blank">vpn.domain.org</a><br>
<br>
with this config I can connect from Windows 10, from ubuntu<br>
via strongswan-starter (ipsec.conf) but not from Network Manager, <br>
from iphone (seems to be ok), but not from android standard vpn client.<br>
i.e.:<br>
Windows 10 - ok<br>
ubuntu (strongswan-starter) - ok<br>
android (strongswan for android) - ok<br>
ubuntu (network manager) - don't work<br>
android (standard client) - don't work (even though I've imported CA<br>
certificate) <br>
<br>
what am I missing for systems that don't work?<br>
<br>
--<br>
With best regards,<br>
  Â  Â Gregory Edigarov<br>
</blockquote></div></div>