strongswan за роутером
Здравствуйте. Я начинающий админ. Пытаюсь поднять vpn strongswan за роутером, у роутера IP белый. Сервер на CentOS 7 (IP 192.168.1.22). Форвардинг включен. Ниже мой ipsec.conf
config setup
charondebug="ike 2, knl 2, cfg 2"
uniqueids = no # позволяет подключаться нескольким клиентам с одним сертификатом
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
forceencaps=yes
dpdaction=clear
dpddelay=35s
dpdtimeout=300s
rekey=no
left=192.168.1.22
leftid=192.168.1.22
compress=no
fragmentation=yes
leftsubnet=192.168.1.0/24
right=%any
keyexchange=ikev2
ike=aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3d
esp=aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-mo
conn ikev2-mschapv2
leftauth=eap-mschapv2
rightauth=eap-mschapv2
auto=route
Подключаюсь из Windows 10 по логину-паролю, она пишет «Ошибка сопоставления групповой политики». Причем неважно какой логин-пароль.
В логе strongswan вот это:
Jul 17 11:59:32 15[IKE] <23> no IKE config found for 192.168.1.22...188.ххх.ххх.ххх, sending NO_PROPOSAL_CHOSEN
Подскажете, что у меня не так с конфигом?
И второй вопрос: если я буду генерить ключи для сервера, мне какой ip указывать, локальный или белый IP роутера, или можно указать локальное имя сервера?