Aparentemente, o pacote Debian não inclui os plugins necessários para o cliente Windows 10. Eu tive que desinstalar o pacote, então baixe e compile o StrongSwan eu mesmo. Desinstalar o pacote deixou alguns arquivos para trás. Eu tive que remover /usr/lib/ipsec/
e recompilar porque a nova instalação foi segfaulting acessando arquivos da instalação antiga que estavam localizados lá. No entanto, os outros arquivos que foram deixados para trás (particularmente em / etc) parecem funcionar, ou pelo menos não causam problemas.
Ao compilar o StrongSwan, usei o comando ./configure --prefix=/usr --sysconfdir=/etc --enable-eap-identity --enable-eap-mschapv2 --enable-md4
Além disso, de acordo com este Windows tenta usar o Diffie de 1024 bits -Hellman group por padrão, e você pode obter StrongSwan para oferecer o grupo DH de 1024 bits, ou você pode definir uma chave de registro no Windows para aceitar o grupo DH 2048. Eu não consegui encontrar documentação para o primeiro, então fui com o último.
Finalmente, o certificado Let's Encrypt funcionou. Para usá-lo, coloque seu certificado ativo.pem em /etc/ipsec.d/certs/
e seu active chain.pem em /etc/ipsec.d/cacerts/
.