Поковырялся некоторое время, до разборок детальных с eap msg так и не хватило пока времени. Но, наткнулся на ветку на форуме микротика и вот такое сообщение
There was a problem in the Android 11 client where some parts of the EAP-MSCHAPv2 exchange aren't padded correctly:
So basically if it's like the StrongSwan developer describes it, Google has been shipping completely broken IKEv2 EAP-MSCHAPv2 client for >2 years now.
If you search online, you can't exactly find anyone describing the native client working with any server for this method.
Don't know if a workaround could be implemented server side or not.
Подтвердить или опровергнуть не могу, как-нибудь руки если дойдут - отпишусь. Увы, пока strongswan.
Тоже не соглажусь, что пробелма в ros7. С win подключается без проблем, а с андроида пока не докопался до сути, но направление такое:
Поле user-name улетающее в радиус сервер вообще берется из поля "Идентификатор ipsec" в настройках соединения в андроиде. Но дело даже не в нем. Поля же "имя пользователя" и "пароль" с настроек андроида я насколько понимаю должны передаваться уже в eap сообщении. И видимо именно там чтото не так, так как радиус сервер отвечает что имя пользователя пустое. Буду признателен если кто подскажет как и чем дебажить eap сообщения.
По сертификату ниже писал, не надо импортировать его на клиента. Импортируйте всю цепочку в ros, и как подсказал автор поста укажите его в identity
На win проверил, после этих действий он сам подхватывается.
А вы не пробовали вместо установки промежуточного сертификата на клиена, установить всю цепочку на маршрутизатор? Если не ошибаюсь - именно так надо и делать. По крайне мере несколько лет назад когда настраивал хотспот на микротике и редирект в нем на https, не мог понять почему при отсутствии интернета на клиенте он ругается на сертификат, а при наличии интернета с этой же страницей проблем нет. Маршрутизатор собственно и передает всю цепочку.
Поковырялся некоторое время, до разборок детальных с eap msg так и не хватило пока времени. Но, наткнулся на ветку на форуме микротика и вот такое сообщение
There was a problem in the Android 11 client where some parts of the EAP-MSCHAPv2 exchange aren't padded correctly:
https://wiki.strongswan.org/issues/3673#note-4
I'm guessing it still hasn't been fixed for 13.
So basically if it's like the StrongSwan developer describes it, Google has been shipping completely broken IKEv2 EAP-MSCHAPv2 client for >2 years now.
If you search online, you can't exactly find anyone describing the native client working with any server for this method.
Don't know if a workaround could be implemented server side or not.
Подтвердить или опровергнуть не могу, как-нибудь руки если дойдут - отпишусь. Увы, пока strongswan.
Тоже не соглажусь, что пробелма в ros7. С win подключается без проблем, а с андроида пока не докопался до сути, но направление такое:
Поле user-name улетающее в радиус сервер вообще берется из поля "Идентификатор ipsec" в настройках соединения в андроиде. Но дело даже не в нем. Поля же "имя пользователя" и "пароль" с настроек андроида я насколько понимаю должны передаваться уже в eap сообщении. И видимо именно там чтото не так, так как радиус сервер отвечает что имя пользователя пустое. Буду признателен если кто подскажет как и чем дебажить eap сообщения.
По сертификату ниже писал, не надо импортировать его на клиента. Импортируйте всю цепочку в ros, и как подсказал автор поста укажите его в identity
На win проверил, после этих действий он сам подхватывается.
А вы не пробовали вместо установки промежуточного сертификата на клиена, установить всю цепочку на маршрутизатор? Если не ошибаюсь - именно так надо и делать. По крайне мере несколько лет назад когда настраивал хотспот на микротике и редирект в нем на https, не мог понять почему при отсутствии интернета на клиенте он ругается на сертификат, а при наличии интернета с этой же страницей проблем нет. Маршрутизатор собственно и передает всю цепочку.