web-dev-qa-db-ja.com

ESP)ではなくAHモードのみを使用するようにWindowsIPSECポリシーを構成する方法はありますか?

無料の白鳥サーバーを実行しているLinuxでWindowsマシン認証を行いました。デフォルトの構成では、ESPで暗号化されたpingを確認できました。でもAHでもテストしたいです。 ESPではなくAHのみを使用するようにWindowsIPSecを構成する方法はありますか?.

1
proudengineer

これを実現するためのGUIベースのオプションはありませんが、これを実現するためのコマンドラインオプションがあります。 GUIオプションファイアウォール設定の[IPsecポリシー構成]タブを使用して、AHモードのみを実行するようにWindows10を構成する方法はありません。せいぜい達成できるのは、最初にAHのみの提案を送信し、次にESP/AH + ESPを送信することです。次に、サーバーがこれを使用するかどうかを決定します。ただし、それでも「AHのみ」を構成したい場合は、PowerShellスクリプトを使用してください。

Power Shellスクリプトオプション

AH専用の新しいクイックモードプロポーザルを作成し、次のようにクイックルール設定に追加します。

    $proposal_ah_only = New-NetIPsecQuickModeCryptoProposal -Encapsulation AH -AHHash SHA256 -ESPHash SHA256 -Encryption AES128 -MaxKiloBytes 100000 -MaxMinutes 480 

    Set-NetIPsecQuickModeCryptoSet -Name "{E5A5D32A-4BCE-4e4d-B07F-4AB1BA7E5FE2}" -NewDisplayName "Quick Mode Crypto Set" -PerfectForwardSecrecyGroup DH2 -Proposal $proposal_ah_only -PolicyStore PersistentStore

管理者権限を持つPower Shellターミナルで上記のコマンドを実行する必要があります。

注:これは、クイックモード設定がGUIベースのIPsecポリシータブを使用して編集できないため、AHのみを設定します。この設定では、Windowsは有効なIPsecプロトコルとしてAHモードのみを送信/受け入れます。

1
proudengineer