Решил таки добить конфигурацию "лебедя" так, чтобы не требовалось ввода логинов/паролей, что предусмотрено по документации. Сгенерил новый сертификат, установил на свою Windows 8.1. При создании не забыл добавить флаг --flag clientAuth, чтобы винда предлагала данный сертификат для авторизации. Перенастроил конфиг лебедя. Сперва сделал неправильно - указал rightauth=pubkey, в результате чего получил в логе следующее:
Поиск в гугле привел на эту страницу, где всё объяснено:
The peer must either use the full DN of the certificate or one of the subjectAltNames as identity.
И точно, после указания полного DN из выписанного сертификата как eap_identity - связь установилась!
Позже, выписал еще один сертификат в котором указал subjectAltName как vpnclients и его же вставил в eap_identity - всё сработало.
charon: 13[IKE] peer requested EAP, config inacceptable charon: 13[CFG] no alternative config foundПоменял настройку на rightauth=eap-tls, ситуация сильно улучшилась, но как-то совсем неожиданно выскочила ошибка следующего содержания:
charon: 04[TLS] no trusted certificate found for 'CertName' to verify TLS peerздесь, CertName - это CN из сертификата. Это очень удивило, т.к. сертификат "подписывался" корневым для сервера.
Поиск в гугле привел на эту страницу, где всё объяснено:
The peer must either use the full DN of the certificate or one of the subjectAltNames as identity.
И точно, после указания полного DN из выписанного сертификата как eap_identity - связь установилась!
Позже, выписал еще один сертификат в котором указал subjectAltName как vpnclients и его же вставил в eap_identity - всё сработало.
Комментариев нет:
Отправить комментарий