<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Good Evening,</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">I am wondering if someone can help me or give me some guidance. I have been configuring Libreswan to provide a host to host IPSEC between a Mikrotik Router and it's self for running a GRE tunnel and OSPF. I am also configuring Libreswan to serve mobile road warrior clients.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">My tunnel to my Mikrotik Router establishes without issue, I can send traffic over the tunnel both directions. However when I try and connect my road warrior via any connectivity method be that cellular or wifi. The connection is matching the first found configuration in Libreswan which is incorrect. The host to host configuration does not use xauth, however my Android VPN client does use xauth.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Is there a way to configure a connection e.g the site to site connection to only specifically serve requests from a certain ID or certificate?</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Is it possible to use two different server certificates on Libreswan with different CN's e.g <a href="http://vpn1.domain.com">vpn1.domain.com</a> and <a href="http://road-warriors.domain.com">road-warriors.domain.com</a> to do this?</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">I have been trying various configurations but the road warriors are always matching mikrotik-home not road-warriors.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Thank you in advance for your help.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">My two configurations are as follows.</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">conn mikrotik-home<br>     left=%defaultroute<br>    leftsubnet=<a href="http://10.200.200.1/32">10.200.200.1/32</a><br> leftsourceip=10.200.200.1<br>     leftcert=<server cert name><br>     right=%any<br>    rightsubnet=<a href="http://10.200.200.2/32">10.200.200.2/32</a><br>        rightid=@<id sent by mikrotik><br>  ike=aes128-sha1;modp1024<br>      dpddelay=5<br>    dpdtimeout=15<br> dpdaction=clear<br>       auto=add<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">conn road-warriors<br>    left=176.58.106.154<br>    leftcert=<server cert name><br>    leftsendcert=always<br>    leftsubnet=<a href="http://0.0.0.0/0">0.0.0.0/0</a><br>    rightaddresspool=10.20.30.1-10.20.30.254<br>    right=%any<br>    modecfgdns=8.8.8.8,8.8.4.4<br>    # Versions up to 3.22 used modecfgdns1 and modecfgdns2<br>    #modecfgdns1=193.110.157.123<br>    #modecfgdns2=8.8.8.8<br>    leftxauthserver=yes<br>    rightxauthclient=yes<br>    leftmodecfgserver=yes<br>    rightmodecfgclient=yes<br>    modecfgpull=yes<br>    xauthby=alwaysok<br>    ike-frag=yes<br>    # xauthby=pam<br>    # xauthfail=soft<br>    # Can be played with below<br>    # dpddelay=30<br>    # dpdtimeout=120<br>    # dpdaction=clear<br>    #authby=rsasig<br>    pfs=no<br>    auto=add<br>    rekey=no<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Kind Regards,</div><div class="gmail_default" style="font-family:verdana,sans-serif;font-size:small">Greg Langford</div></div>