Windows 10 客戶端“策略匹配錯誤”上的 Strongswan IKEv2 vpn

我的 ubuntu 伺服器上執行著最新版本的 Strongswan vpn。我在這裡按照本教程進行操作，並讓它在我的 android 和 Iphone 上執行。

現在我想讓它在我的 Windows 10 筆記型電腦上工作，但是當我嘗試通過 Windows 中的 vpn 設置進行連接時，我只收到“策略匹配錯誤”，並且事件視圖給了我錯誤程式碼“13868”。

經過多次Google搜尋，我仍然找不到任何可行的解決方案。

我能做些什麼？

問題很可能是 Windows 客戶端提出了弱 Diffie-Hellman (DH) 組（1024 位 MODP）。strongSwan 不再使用該組，除非使用者明確配置它。

你有兩個選擇：

1. 將 Windows 配置為使用更強大的 DH 組。這可以做到

• 通過Set-VpnConnectionIPsecConfiguration PowerShell cmdlet，它允許啟用更強大的 DH 組（例如組 14/2048 位 MODP 或 384 位 ECP）甚至其他算法（例如 AES-GCM 組合模式加密/完整性，它更有效，但也需要在伺服器上顯式啟用）
• 或通過系統資料庫添加 DWORD 鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256。將其設置1為啟用（仍建議使用其他算法），或2強制使用 256 位 AES-CBC 和 2048 位 MODP DH（僅建議使用這些算法）。

2. 將建議的弱 DH 組（1024 位 MODP）添加到伺服器上的 IKE 建議中（例如，配置類似ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024的內容，將其添加到最後，以便其他客戶端可以使用更強的 DH 組）。

選項 1 絕對是首選。

引用自：https://serverfault.com/questions/965244