Hallo,
ich versuche gerade IPSec mit Windows 10 einzurichten. Nach der aktuellen Matrix unter https://docs.opnsense.org/manual/how-tos/ipsec-rw.html ist mit Windows 10 und ohne Radius Server nur IKEv2 EAP-MSCHAPv2 möglich. EAP-MSCHAPv2 lässt nach meinem Wissen keine zertifikatsbasierte Authentifizierung des Clients gegenüber dem Servers mit Windows zu.
Ist es möglich mit OPNsense eine zweiseitige zertifikatsbasierte Authentifizierung für Windows 10 einzurichten?
Was ich bis jetzt veruscht habe ist EAP-TLS unter OPNsense zu konfigurieren und unter Windows die Zertifikatsbasierte Authentifizierung "Microsoft Smartcard oder anderes Zertifikat" unter den virtuellen Adaptereinsellungen auszuwählen. Dies endet jedoch damit, dass ich folgende Fehlermedlung in den Logs finde "Configured EAP-only authentication, but peer does not support it".
Über eine Antwort ob eine zertifikatsbasierte Authentifizierung des Windows 10 Clients grundsetzlich möglich ist, wäre ich sehr dankbar.
Lg
Wenn es in der Matrix als kompatibel angezeigt wird geht es auch. Dann stimmt bestimmt nur der Common Name nicht oder so. Da sind die Logs eher mau.
Danke für die Antwort!
Nach der Matrix geht es eben nicht. Da geht bei Windows 10 nur EAP-MSCHAPv2. Und soweit ich es verstehe, erlaubt EAP-MSCHAPv2 nur Username und Passwort und keine Client Authentifizierung mit Zertifikaten in Windows 10.
Daher nochmals die Frage, ist es möglich mit Windows 10 sich via Zertifikat bei einem IPSec Server (welcher durch OPNSense aufgebaut ist) anzumelden (z.B. via EAP-TLS)?
Danke nochmals für das Feedback.
Mit IKEv1 und RSA Keys vielleicht?