Vpn

Windows 10 客戶端“策略匹配錯誤”上的 Strongswan IKEv2 vpn

  • April 30, 2019

我的 ubuntu 伺服器上執行著最新版本的 Strongswan vpn。我在這裡按照本教程進行操作,並讓它在我的 android 和 Iphone 上執行。

現在我想讓它在我的 Windows 10 筆記型電腦上工作,但是當我嘗試通過 Windows 中的 vpn 設置進行連接時,我只收到“策略匹配錯誤”,並且事件視圖給了我錯誤程式碼“13868”。

經過多次Google搜尋,我仍然找不到任何可行的解決方案。

我能做些什麼?

問題很可能是 Windows 客戶端提出了弱 Diffie-Hellman (DH) 組(1024 位 MODP)。strongSwan 不再使用該組,除非使用者明確配置它。

你有兩個選擇:

  1. 將 Windows 配置為使用更強大的 DH 組。這可以做到
  • 通過Set-VpnConnectionIPsecConfiguration PowerShell cmdlet,它允許啟用更強大的 DH 組(例如組 14/2048 位 MODP 或 384 位 ECP)甚至其他算法(例如 AES-GCM 組合模式加密/完整性,它更有效,但也需要在伺服器上顯式啟用)
  • 或通過系統資料庫添加 DWORD 鍵HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256。將其設置1為啟用(仍建議使用其他算法),或2強制使用 256 位 AES-CBC 和 2048 位 MODP DH(僅建議使用這些算法)。
  1. 將建議的弱 DH 組(1024 位 MODP)添加到伺服器上的 IKE 建議中(例如,配置類似ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024的內容,將其添加到最後,以便其他客戶端可以使用更強的 DH 組)。

選項 1 絕對是首選。

引用自:https://serverfault.com/questions/965244