無料の白鳥サーバーを実行しているLinuxでWindowsマシン認証を行いました。デフォルトの構成では、ESPで暗号化されたpingを確認できました。でもAHでもテストしたいです。 ESPではなくAHのみを使用するようにWindowsIPSecを構成する方法はありますか?.
これを実現するためのGUIベースのオプションはありませんが、これを実現するためのコマンドラインオプションがあります。 GUIオプションファイアウォール設定の[IPsecポリシー構成]タブを使用して、AHモードのみを実行するようにWindows10を構成する方法はありません。せいぜい達成できるのは、最初にAHのみの提案を送信し、次にESP/AH + ESPを送信することです。次に、サーバーがこれを使用するかどうかを決定します。ただし、それでも「AHのみ」を構成したい場合は、PowerShellスクリプトを使用してください。
Power Shellスクリプトオプション
AH専用の新しいクイックモードプロポーザルを作成し、次のようにクイックルール設定に追加します。
$proposal_ah_only = New-NetIPsecQuickModeCryptoProposal -Encapsulation AH -AHHash SHA256 -ESPHash SHA256 -Encryption AES128 -MaxKiloBytes 100000 -MaxMinutes 480
Set-NetIPsecQuickModeCryptoSet -Name "{E5A5D32A-4BCE-4e4d-B07F-4AB1BA7E5FE2}" -NewDisplayName "Quick Mode Crypto Set" -PerfectForwardSecrecyGroup DH2 -Proposal $proposal_ah_only -PolicyStore PersistentStore
管理者権限を持つPower Shellターミナルで上記のコマンドを実行する必要があります。
注:これは、クイックモード設定がGUIベースのIPsecポリシータブを使用して編集できないため、AHのみを設定します。この設定では、Windowsは有効なIPsecプロトコルとしてAHモードのみを送信/受け入れます。