Windows 10クライアント上のStrongswan IKEv2 vpn「ポリシー一致エラー」
Ubuntuサーバーで最新バージョンのStrongswan vpnを実行しています。私は このチュートリアル ここに従い、私のAndroidおよびIphoneで動作するようになりました。
Windows 10ラップトップで動作させたいのですが、WindowsのVPN設定を介して接続しようとすると、「ポリシー一致エラー」しか表示されず、イベントビューでエラーコード「13868」が表示されます。
多くのググリングの後、私はまだどんな解決策も見つけることができません。
私に何ができる?
この問題は、Windowsクライアントが弱いDiffie-Hellman(DH)グループ(1024ビットMODP)を提案している可能性が高いです。ユーザーが明示的に設定しない限り、strongSwanはそのグループを使用しません。
次の2つのオプションがあります。
- より強力なDHグループを使用するようにWindowsを構成します。これはどちらでも可能です
- Set-VpnConnectionIPsecConfiguration PowerShellコマンドレットを使用して、より強力なDHグループ(例:グループ14/2048ビットMODPまたは384ビットECP)およびその他のアルゴリズム(例:AES-GCM複合モード暗号化/整合性)を有効にすることができますより効率的ですが、サーバーでも明示的に有効にする必要があります)
- または、DWORDキー
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256を追加してレジストリ経由で。有効にするには1に設定します(他のアルゴリズムも引き続き提案されます)。256ビットのAES-CBCおよび2048ビットのMODP DHの使用を強制するには2に設定します(これらのみが提案されます)。
- 提案された弱いDHグループ(1024ビットMODP)をサーバーのIKEプロポーザルに追加します(例:
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024のようなものを構成し、最後に追加して、他のクライアントがより強力なDHグループを使用できるようにします)。
オプション1をお勧めします。