Я установил strongswan 5.3.3-1 на маршрутизаторе на основе OpenWRT 15.05. Следовал этому уроку
Сертификат для аутентификации на стороне сервера выдан Let's Encrypt - я использую его для своей коробки с синтаксисом, и он работает нормально.
Клиенты проходят аутентификацию с использованием имени пользователя / пароля (EAP-MSCHAPv2)
/etc/ipsec.conf:
config setup
uniqueids=no
charondebug ="all"
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=2000s
keyexchange=ikev2
auto=add
rekey=no
reauth=no
fragmentation=yes
eap_identity=%identity
# left - local (server) side
left=%any
leftsubnet=0.0.0.0/0
leftauth=pubkey
leftcert=le.cert.pem
leftsendcert=always
leftfirewall=yes
# right - remote (client) side
right=%any
rightsourceip=10.7.0.0/24
rightdns=192.168.1.1,192.168.1.254
rightsendcert=never
conn ikev2-mschapv2
rightauth=eap-mschapv2
conn ikev2-mschapv2-apple
rightauth=eap-mschapv2
leftid=@server.ddns.net
/etc/strongswan.conf:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
При подключении к VPN из клиента MacBook замечаю следующее:
трафик проходит через туннель (как и ожидалось) - внешний ip является публичным ip VPN-сервера
DNS работает должным образом - я могу запросить по именам все мои внутренние машины на левом (VPN-сервер) сайте.
ping to google.com тоже работает.
Но в браузере я не могу подключиться к любому сайту https.
Ошибка, которую я получаю в Chrome:
Firefox возвращает это:
Это никогда не случалось со мной с серверами openvpn .. Есть идеи, что вызывает эту проблему с сертификатами?