Доброго времени суток. Попал в дебри IPsec и разных методов аутентификации, хотелось бы помощи в выборе направления, куда копать дальше.

Была задача организовать IPsec VPN для Apple-iOS пользователей с использование «VPN On Demand », VPN сервер должен работать на Debian или Ubuntu. iOS позволяет такое делать только для VPN c аутентификацией по сертификатам.

Решение взяли стандартное: в качестве IKE сервера использовали strongSwan 5.1.2, создали CA сертификат, серверный сертификат (подписанный CA) и сертификат для каждого клиента (подписанные CA). Для того что б использовать только сертификаты для аутентификации клиентов использовали xauth-noauth strongSwan plugin. Схема многими, в принципе, была описана.

Сейчас появилось новое требование поднять несколько серверов с общей базой пользователей и вести учет их активности.

Просится использовать FreeRADIUS для акаунтинга.

StrongSwan может его использовать в режиме IKEv1 только c Xauth и передает на него только username/password, а не сертификаты.

Можно ли RSA аутентификацию на RADIUS перенести с IKEv1 или IKEv2?

Сейчас копаю в сторону IKEv2 + EAP-TLS. Это правильное направление? iOS 8 уже может IKEv2.

Также смотрел в сторону VICI strongSwan, но кажется оно в моей задаче помочь не сможет...