Как настроить eap-radius StrongSwan с FreeRadius для аутентификации EAP-MSCHAPv2?

Question

Как настроить eap-radius StrongSwan с FreeRadius для аутентификации EAP-MSCHAPv2?

Я пытаюсь настроить StrongSwan IPsec VPN с аутентификацией RADIUS. Фактическая аутентификация EAP-MSCHAPv2 для FreeRadius с OpenLDAP для имени пользователя и паролей прошла успешно, но затем я застрял со следующим сообщением об ошибке:

      Jul 15 21:31:04 odroidc4 charon-systemd[814594]: authentication of '100.80.129.171' with EAP successful
Jul 15 21:31:04 odroidc4 charon-systemd[814594]: constraint check failed: peer not authenticated by CA 'C=DE, O=ahpohl, CN=ahpohl Root CA'
Jul 15 21:31:04 odroidc4 charon-systemd[814594]: selected peer config 'eap-radius' unacceptable: non-matching authentication done
Jul 15 21:31:04 odroidc4 charon-systemd[814594]: no alternative config found

Поиск сообщения об ошибке проверки ограничений не дал убедительных результатов. Я пробовал клиенты для Windows10Pro и iPhone iOS 15.5, но оба не прошли одну и ту же проверку ограничений.

Как мне пройти проверку или, как вариант, отключить проверку? Кого подразумевается под словом «одноранговый узел»: клиент или RADIUS-сервер?

Я использую следующееswantctl.conf:

      connections {
  eap-radius {
    pools = ipv4, ipv6
    send_cert = always
    local {
      auth = pubkey
      certs = vpnCert.pem
      id = vpn.ahpohl.com
    }
    remote {
      auth = eap-radius
      cacerts = ahpohlCert.pem
      eap_id = %any
    }
    children {
      eap-radius {
        local_ts = 0.0.0.0/0, ::/0
        esp_proposals = aes256-sha256-sha1-modp2048
      }
      version = 2
      proposals = aes256-sha256-modp2048
    }
  }
}

pools {
  ipv4 {
    addrs = 10.10.1.64/26
    dns = 192.168.178.1
  }
  ipv6 {
    addrs = 2a02:168:4407:1::/122
    dns = fd00::ca0e:14ff:fe0c:e6a5
  }
}

Центр сертификации и сертификат сервера были созданы с помощью StrongSwan.pkiинструмент:

      # create CA
pki --gen --type rsa --size 3072 --outform pem > private/ahpohlKey.pem
pki --self --ca --lifetime 3652 --in private/ahpohlKey.pem --dn "C=DE, O=ahpohl, CN=ahpohl Root CA" --outform pem > x509ca/ahpohlCert.pem

# create server certificate:
pki --gen --type rsa --size 3072 --outform pem > private/vpnKey.pem
pki --req --type priv --in private/vpnKey.pem --dn "C=DE, O=ahpohl, CN=vpn.ahpohl.com" --san vpn.ahpohl.com --outform pem > vpnReq.pem
pki --issue --cacert x509ca/ahpohlCert.pem --cakey private/ahpohlKey.pem --type pkcs10 --in vpnReq.pem --serial 01 --lifetime 1826 --flag serverAuth --flag ikeIntermediate --crl https://www.ahpohl.com/crl/ahpohl.crl --outform pem > x509/vpnCert.pem

Я следовал инструкциям на вики StrongSwan для настройки StrongSwan, создания сертификатов и рекомендаций по совместимости сертификатов. Полные журналы подключений VPN-шлюза StrongSwan и FreeRadiusradiusd -Xвывод отладки немного длинный, чтобы его можно было разместить здесь, но он доступен при необходимости.

1

vpn ipsec strongswan freeradius eap-mschapv2

Источник

apohl 15 июл '22 в 20:32

0 ответов

Другие вопросы по тегам vpn ipsec strongswan freeradius eap-mschapv2