Ich habe auf einer Digitalisierungsbox Smart (Firmware-Version 11.01.02.102)  VPN -Zugänge über IKEv2 (mit preshared keys) für Apple Geräte eingerichtet. Das funktioniert soweit auch einwandfrei.

Nun habe ich ein selbstsigniertes Zertifikat erzeugt. Die Digitalisierungsbox übernimmt das Zertifikat inkl. der CA als gültig in die Konfiguration. Auch kann ich dieses Zertifikat in den IPSEC-PEERS auswählen und in die Konfiguration einbinden.

Das IOS Gerät lässt sich ebenfalls mit einem eigenen Client-Zertifikat der gleichen CA konfigurieren. Dieses Zertifikat wird nach dem ersten Verbindungsversuch auch in der Zertifikatsliste der Digitalisierungsbox gültig als "Peer" angezeigt. Allerdings wird die Verbindung mit "Policy Mismatch" abgelehnt.

Das verblüfft mich in soweit, weil ich in der funktionierenden (preshard key) Konfiguration lediglich den preshared key durch das Zertifikat ersetzt habe.

Gruß Mantosch