web-dev-qa-db-ja.com

Windows 10クライアント上のStrongswan IKEv2 vpn「ポリシー一致エラー」

Ubuntuサーバーで最新バージョンのStrongswan vpnを実行しています。私は このチュートリアル ここに従い、私のAndroidおよびIphoneで動作するようになりました。

Windows 10ラップトップで動作させたいのですが、WindowsのVPN設定を介して接続しようとすると、「ポリシー一致エラー」しか表示されず、イベントビューでエラーコード「13868」が表示されます。

多くのググリングの後、私はまだどんな解決策も見つけることができません。

私に何ができる?

3
sirzento

この問題は、Windowsクライアントが弱いDiffie-Hellman(DH)グループ(1024ビットMODP)を提案している可能性が高いです。ユーザーが明示的に設定しない限り、strongSwanはそのグループを使用しません。

次の2つのオプションがあります。

  1. より強力なDHグループを使用するようにWindowsを構成します。これはどちらでも可能です
    • Set-VpnConnectionIPsecConfiguration PowerShellコマンドレットを使用して、より強力なDHグループ(例:グループ14/2048ビットMODPまたは384ビットECP)およびその他のアルゴリズム(例:AES-GCM複合モード暗号化/整合性)を有効にすることができますより効率的ですが、サーバーでも明示的に有効にする必要があります)
    • または、DWORDキーHKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256を追加してレジストリ経由で。有効にするには1に設定します(他のアルゴリズムも引き続き提案されます)。256ビットのAES-CBCおよび2048ビットのMODP DHの使用を強制するには2に設定します(これらのみが提案されます)。
  2. 提案された弱いDHグループ(1024ビットMODP)をサーバーのIKEプロポーザルに追加します(例:ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024のようなものを構成し、最後に追加して、他のクライアントがより強力なDHグループを使用できるようにします)。

オプション1をお勧めします。

7
ecdsa