<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=ISO-8859-1"

 http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Hi,<br>

<br>

On 03/10/2010 05:53 AM, Paul Wouters wrote:

<blockquote

 cite="mid:alpine.LFD.1.10.1003091351190.29936@newtla.xelerance.com"

 type="cite">

  <pre wrap="">On Tue, 9 Mar 2010, farajian amin wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">If openswan does request other side certificate , why we need to copy other side certificate to the /etc/ipsec.d/certs too.

    </pre>

  </blockquote>

  <pre wrap="">

You do not need to do that.

  </pre>

  <blockquote type="cite">

    <pre wrap="">I have the following configuration on a client as a road-warrior:

    </pre>

  </blockquote>

  <pre wrap="">

  </pre>

  <blockquote type="cite">

    <pre wrap="">conn road-x509

       left=192.168.1.210

       right=%any

       type=tunnel

       leftcert=VPN2Cert.pem

       rightcert=VPN1Cert.pem

    </pre>

  </blockquote>

  <pre wrap="">

Assuming 192.168.1.210 is the gateway, you need right=%defaultroute, not right=%any

You do not need the leftcert= line. I would add rightsendcert=always.

  </pre>

</blockquote>

(Assuming left is the gateway).&nbsp; If both certificates are signed by the

same Certificate Authority, I would remove <b>leftcert</b>, and add <b>leftca=%same&nbsp;

</b>(The documentation it says its on by default, but when testing I

found I needed it).<br>

<br>

That way you only need to put VPN1Cert.pem on the host.<br>

<br>

Likewise, for the gateway (below), remove <b>rightcert</b> and add <b>rightca=%same</b><br>

<b><br>

</b>Regards,<br>

Antony.<br>

<br>

<blockquote

 cite="mid:alpine.LFD.1.10.1003091351190.29936@newtla.xelerance.com"

 type="cite">

  <pre wrap=""></pre>

  <blockquote type="cite">

    <pre wrap="">and for the gateway:

conn road-x509

       left=192.168.1.210

       right=%any

       type=tunnel

       leftcert=VPN2Cert.pem

       rightcert=VPN1Cert.pem

    </pre>

  </blockquote>

  <pre wrap="">

You do not need rightcert=

Paul

_______________________________________________

<a class="moz-txt-link-abbreviated" href="mailto:Users@openswan.org">Users@openswan.org</a>

<a class="moz-txt-link-freetext" href="http://lists.openswan.org/mailman/listinfo/users">http://lists.openswan.org/mailman/listinfo/users</a>

Building and Integrating Virtual Private Networks with Openswan: 

<a class="moz-txt-link-freetext" href="http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155">http://www.amazon.com/gp/product/1904811256/104-3099591-2946327?n=283155</a>

  </pre>

</blockquote>

<br>

</body>

</html>