[VPN IPSEC/L2TP] Problème de certification côté client (Windows 7) : Erreur 13806

[fanfouer]

Bonsoir à tous,

Je me permets de venir évoquer un problème ici après avoir exploré pas mal de pistes sans aucun succès, ce qui provoque chez moi une bonne dose d'agacement (comme on peut l'imaginer).

Je suis entrain d'essayer de monter un tunnel IPSEC/L2TP basé sur le protocole d'échange de clé IKEv2 récemment supporté par windows, depuis W7. Mon serveur tourne sous StrongSwan 4.3.x

Lors de la procédure de connexion, le poste client va échanger avec le serveur des certificats dans un premier temps et je soupçonne cette étape de ne pas se dérouler comme prévu.

Pour que le tunnel puisse se construire, il faut disposer de certificats (de préférence auto-signés, pour éviter les attaques du type "man in the middle" - D'après ce que j'ai pu comprendre) et les installer dans le magasin de certificats du poste client.
Après avoir créé ma connexion VPN par le biais du centre réseau et partage comme décris sur cette page : http://wiki.strongswan.org/projects/.../Win7EapConfig, je tente une connexion et reçoit irrémédiablement l'erreur 13806 : aucun certificat valide ne peut être trouvé sur le poste local.

Bien entendu, le certificat installé sur le poste client a bien été signé par la même autorité CA ROOT auto-signée que le certificat serveur.
J'ai également ajouté les EKU suivantes au moment de la signature :
Authentification du serveur (1.6.6.1.5.5.7.3.1)
Sécurité IP IKE intermédiaire (1.3.6.1.5.5.8.2.2)
Systeme de sécurité IP en fin de chaine (1.3.6.1.5.5.7.3.5)
Utilisateur de sécurité IP (1.3.6.1.5.5.7.3.7)

Est-ce que quelqu'un peut me dire ce qui ne va pas?
Il y a surement des attentes spécifiques à Windows mais que les documentations Linux se gardent bien d'indiquer...

[Edit]
J'ai également suivi les indications présentes sur ces pages et mes certificats sont conformes aux préconisations :
- Microsoft certificates requirements
- VPN Reconnect in W7

avec les extensions suivantes au moment de la signature :

[ipsec_server]
keyUsage = digitalSignature,keyEncipherment
extendedKeyUsage = 1.6.6.1.5.5.7.3.1,1.3.6.1.5.5.8.2.2,1.3.6.1.5.5.7.3.5,1.3.6.1.5.5.7.3.7
subjectAltName = DNS:nom.reverse.dns.indique.dans.la.connection.windows7
basicConstraints = CA:FALSE

Commande openssl utilisée :
openssl > ca -days 365 -in certs/IPSEC.req -out certs/IPSEC.pem -extensions ipsec_server -extfile sslexts/exts

[Edit 2]
Voici ce qu'on trouve dans le log, côté serveur, de charon (moteur ipsec de strongswan) au moment de la connexion :

Citation:

Jan 23 21:57:09 12[NET] received packet: from mon_ip_client[500] to mon_ip_serveur[500]
Jan 23 21:57:09 12[ENC] parsed IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Jan 23 21:57:09 12[IKE] mon_ip_client is initiating an IKE_SA
Jan 23 21:57:09 12[IKE] remote host is behind NAT
Jan 23 21:57:09 12[ENC] generating IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ] <-- Qu'est-ce que veut dire cette ligne?
Jan 23 21:57:09 12[NET] sending packet: from mon_ip_serveur[500] to mon_ip_client[500]
Jan 23 21:58:42 13[JOB] deleting half open IKE_SA after timeout