Vpn
Windows 10 客戶端“策略匹配錯誤”上的 Strongswan IKEv2 vpn
我的 ubuntu 伺服器上執行著最新版本的 Strongswan vpn。我在這裡按照本教程進行操作,並讓它在我的 android 和 Iphone 上執行。
現在我想讓它在我的 Windows 10 筆記型電腦上工作,但是當我嘗試通過 Windows 中的 vpn 設置進行連接時,我只收到“策略匹配錯誤”,並且事件視圖給了我錯誤程式碼“13868”。
經過多次Google搜尋,我仍然找不到任何可行的解決方案。
我能做些什麼?
問題很可能是 Windows 客戶端提出了弱 Diffie-Hellman (DH) 組(1024 位 MODP)。strongSwan 不再使用該組,除非使用者明確配置它。
你有兩個選擇:
- 將 Windows 配置為使用更強大的 DH 組。這可以做到
- 通過Set-VpnConnectionIPsecConfiguration PowerShell cmdlet,它允許啟用更強大的 DH 組(例如組 14/2048 位 MODP 或 384 位 ECP)甚至其他算法(例如 AES-GCM 組合模式加密/完整性,它更有效,但也需要在伺服器上顯式啟用)
- 或通過系統資料庫添加 DWORD 鍵
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256
。將其設置1
為啟用(仍建議使用其他算法),或2
強制使用 256 位 AES-CBC 和 2048 位 MODP DH(僅建議使用這些算法)。
- 將建議的弱 DH 組(1024 位 MODP)添加到伺服器上的 IKE 建議中(例如,配置類似
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
的內容,將其添加到最後,以便其他客戶端可以使用更強的 DH 組)。選項 1 絕對是首選。