Ich habe strongswan 5.3.3-1 auf einem OpenWRT 15.05-basierten Router eingerichtet.Lernprogramm
Das Zertifikat für die serverseitige Authentifizierung wird von Let’s Encrypt ausgestellt – ich verwende es für meine Synology-Box und es funktioniert einwandfrei.
Die Authentifizierung der Clients erfolgt über Benutzername/Passwort (EAP-MSCHAPv2)
/etc/ipsec.conf:
config setup
uniqueids=no
charondebug ="all"
conn %default
dpdaction=clear
dpddelay=35s
dpdtimeout=2000s
keyexchange=ikev2
auto=add
rekey=no
reauth=no
fragmentation=yes
eap_identity=%identity
# left - local (server) side
left=%any
leftsubnet=0.0.0.0/0
leftauth=pubkey
leftcert=le.cert.pem
leftsendcert=always
leftfirewall=yes
# right - remote (client) side
right=%any
rightsourceip=10.7.0.0/24
rightdns=192.168.1.1,192.168.1.254
rightsendcert=never
conn ikev2-mschapv2
rightauth=eap-mschapv2
conn ikev2-mschapv2-apple
rightauth=eap-mschapv2
[email protected]
/etc/strongswan.conf:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
}
include strongswan.d/*.conf
Beim Herstellen einer Verbindung zum VPN vom MacBook-Client aus fällt mir Folgendes auf:
Der Datenverkehr läuft (wie erwartet) durch den Tunnel - die externe IP ist die öffentliche IP des VPN-Servers
DNS funktioniert wie erwartet – ich kann alle meine internen Maschinen auf der linken Site (VPN-Server) nach Namen abfragen.
Ein Ping zu google.com funktioniert auch.
Aber im Browser kann ich keine Verbindung zu einer https-Website herstellen.
Der Fehler, den ich in Chrome erhalte:
Firefox gibt Folgendes zurück:
Das ist mir mit OpenVPN-Servern nie passiert. Irgendwelche Ideen, was dieses Problem mit Zertifikaten verursacht?