1

Я установил strongswan 5.3.3-1 на маршрутизаторе на основе OpenWRT 15.05. Следовал этому уроку

Сертификат для аутентификации на стороне сервера выдан Let's Encrypt - я использую его для своей коробки с синтаксисом, и он работает нормально.

Клиенты проходят аутентификацию с использованием имени пользователя / пароля (EAP-MSCHAPv2)

/etc/ipsec.conf:

config setup
    uniqueids=no
    charondebug ="all"

conn %default
    dpdaction=clear
    dpddelay=35s
    dpdtimeout=2000s

    keyexchange=ikev2
    auto=add
    rekey=no
    reauth=no
    fragmentation=yes
    eap_identity=%identity

    # left - local (server) side
    left=%any
    leftsubnet=0.0.0.0/0
    leftauth=pubkey
    leftcert=le.cert.pem
    leftsendcert=always
    leftfirewall=yes

    # right - remote (client) side
    right=%any
    rightsourceip=10.7.0.0/24
    rightdns=192.168.1.1,192.168.1.254
    rightsendcert=never

conn ikev2-mschapv2
    rightauth=eap-mschapv2

conn ikev2-mschapv2-apple
    rightauth=eap-mschapv2
    leftid=@server.ddns.net

/etc/strongswan.conf:

charon {
        load_modular = yes
    plugins {
            include strongswan.d/charon/*.conf
        }
}

include strongswan.d/*.conf

При подключении к VPN из клиента MacBook замечаю следующее:

  • трафик проходит через туннель (как и ожидалось) - внешний ip является публичным ip VPN-сервера

  • DNS работает должным образом - я могу запросить по именам все мои внутренние машины на левом (VPN-сервер) сайте.

  • ping to google.com тоже работает.

Но в браузере я не могу подключиться к любому сайту https.

Ошибка, которую я получаю в Chrome:

Firefox возвращает это:

Это никогда не случалось со мной с серверами openvpn .. Есть идеи, что вызывает эту проблему с сертификатами?

0