Я пытаюсь настроить Windows, встроенную в VPN, с asa 5505, используя IPsec / L2TP с IKEv1. Удаленный доступ vpn с помощью psk.
У меня возникла ошибка несоответствия на этапе 1, и я не могу понять, какое предложение IPsec используется в Windows 10, поэтому могу сопоставить на стороне Asa5505 !? То есть метод аутентификации, алгоритм хеширования, алгоритм шифрования, группа DH и время жизни.
Итак, какое предложение IPsec использует Windows 10 со встроенным VPN-клиентом, и можно ли это изменить?
Есть какие-нибудь советы и хитрости?
С уважением.
Этот вопрос немного устарел, но я решил поделиться своим опытом с L2TP / IPSec с использованием PSK в Windows 10, кому-то это может быть полезно.
На днях я экспериментировал с подключениями L2TP / IPsec между ПК с Windows 10 и маршрутизатором Mikrotik. Анализируя журнал уровня отладки Mikrotik, я выяснил, что Windows 10 (версия 1511) предлагает следующие настройки аутентификации и шифрования во время обмена ключами (в этом порядке приоритета):
Для согласования Phase2 в Windows 10 есть только следующее предложение:
Кажется, все эти настройки жестко запрограммированы в системе, поскольку клиент L2TP / IPsec игнорировал любые изменения, которые я внес в «Настройки IPSec» в Advanced Windows Firewall MMC.
Я даже попробовал этот взлом реестра, но мне не удалось заставить AES256 для фазы 2: https://superuser.com/questions/1296210/force-windows-ipsec-l2tp-vpn-to-use-aes-in-ipsec-main-mode
Я знаю, что 1511 - это устаревшая версия Win10, но она была доступна на моем рабочем ноутбуке. В более новой версии могут быть некоторые улучшения (например, более эффективное шифрование AES-GCM), но для меня комбинация SHA1 и 256-битного AES-CBC с эллиптической кривой Диффи-Хеллмана P-384 предлагает достаточно надежную и быструю безопасность в настоящее время. . Для трафика SHA1 + AES128 - не самый безопасный вариант, но для него не требуется много ресурсов.
Обновить: Я проверил Win10 версии 1803. Предложения этапа 1 такие же, но для этапа 2 Windows теперь также предлагает SHA1 + AES-CBC-256 (помимо SHA1 + AES-CBC-128). Наборы CTR или GCM по-прежнему не поддерживаются. Ни хеширования SHA256 для аутентификации.
Я также нашел, как редактировать эти параметры: брандмауэр Windows с повышенной безопасностью -> (правая панель) Свойства -> Параметры IPsec -> Настроить параметры IPsec по умолчанию -> Обмен ключами (дополнительно)
У вас должна быть возможность установить параметры в настройках VPN (щелкните правой кнопкой мыши, свойства VPN-соединения в сети и общего доступа), а затем настройте, как Windows обрабатывает PSK для L2TP. я верить по умолчанию используются сертификаты, а не PSK (поскольку он этого не знает). Он будет пробовать несколько разных типов VPN, пока не найдет тот, который работает (или потратит много времени на SSL ...), но вы можете явно указать ему использовать L2TP.
Взгляните на вкладку «Безопасность», выберите тип VPN и дополнительные настройки, чтобы указать, как Windows пытается аутентифицироваться. Под ним протоколы и все такое.
Значения по умолчанию перечислены Microsoft здесь http://support.microsoft.com/en-us/kb/325158
У меня был некоторый успех с PowerShell для изменения настроек фазы 1 и 2
Set-VpnConnectionIPsecConfiguration -ConnectionName test -EncryptionMethod AES128 -DHGroup ECP256 -IntegrityCheckMethod SHA256 -PfsGroup None –AuthenticationTransformConstants GCMAES128 -CipherTransform128Constants GCMAES