Eu configurei o strongswan 5.3.3-1 no roteador baseado no OpenWRT 15.05. Seguido este tutorial
O certificado de autenticação do lado do servidor é emitido por Let's Encrypt - eu o uso para minha caixa de sincronização e funciona bem.
Os clientes são autenticados usando nome de usuário / senha (EAP-MSCHAPv2)
/etc/ipsec.conf:
config setup
uniqueids=no
charondebug ="all"
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=2000s
keyexchange=ikev2
auto=add
rekey=no
reauth=no
fragmentation=yes
eap_identity=%identity
# left - local (server) side
left=%any
leftsubnet=0.0.0.0/0
leftauth=pubkey
leftcert=le.cert.pem
leftsendcert=always
leftfirewall=yes
# right - remote (client) side
right=%any
rightsourceip=10.7.0.0/24
rightdns=192.168.1.1,192.168.1.254
rightsendcert=never
conn ikev2-mschapv2
rightauth=eap-mschapv2
conn ikev2-mschapv2-apple
rightauth=eap-mschapv2
[email protected]
/etc/strongswan.conf:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
Ao conectar-se à VPN a partir do cliente macbook, noto o seguinte:
o tráfego passa pelo túnel (como esperado) - ip externo é o ip público do servidor VPN
O dns funciona como esperado - posso consultar por nomes todas as minhas máquinas internas no site da esquerda (servidor VPN).
ping para google.com também funciona.
Mas no navegador não consigo me conectar a nenhum site https.
O erro que recebo no Chrome:
OFirefoxretornaisso:
Isso nunca aconteceu comigo com servidores openvpn .. Alguma idéia do que causa esse problema com certificados?