IPSec под форточками

Тов. kvazimoda24 вчера развлекался. Строил IPSec-тоннель между Windows 10 и StrongSWAN с аутентификацией по X509-сертификатам.

Так-то у него вполне получилось. Но в процессе выяснились два неочевидных момента.

1. Windows 10 не умеет в ED25519-подписи в сертификатах. Действительно, зачем они нам? Шёл 2022-й год... Пришлось откатить на ECDSA384+SHA256.


2. Форточки требуют наличия флага "X509v3 Extended Key Usage: TLS Web Client Authentication" в сертификате, иначе отказываются его использовать для аутентификации. Вот это несколько странно. Я, конечно, допускаю, что такая паранойя может быть оправдана для исключения MitM-атак. Но для этого другая сторона тоже должна проверять этот момент. И вот чё-то мне кажется, что очень мало кто реально этим станет заниматься. Во всяком случае, StrongSWAN с настройками по умолчанию этого точно не делает.

А так, всё хорошо, прекрасная Маркиза. И даже вроде работает.