Рейтинг:0

Strongswan IKEv2 vpn на клиенте Windows 10. Я получаю "Ошибка соответствия политики"

флаг br

мой файл журнала:

16 января 22:10:46 ip-172-26-4-200 charon: 05[CFG] выбор предложения:
16 января 22:10:46 ip-172-26-4-200 charon: 05[CFG] приемлемый ENCRYPTION_ALGORITHM не найден
16 января 22:10:46 ip-172-26-4-200 charon: 05[CFG] получил предложения: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
16 января 22:10:46 ip-172-26-4-200 charon: 05[CFG] настроенные предложения: IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/ECP_256
16 января 22:10:46 ip-172-26-4-200 charon: 05[IKE] локальный хост находится за NAT, отправка сообщений Keep Alive
16 января 22:10:46 ip-172-26-4-200 charon: 05[IKE] удаленный хост находится за NAT

Что я должен установить Set-VpnConnectionIPsecConfiguratioв виндовс10? Я не могу понять.

Tim avatar
флаг gp
Tim
Добро пожаловать в Server Fault :) Пожалуйста, отредактируйте свой вопрос, чтобы он был более подробным, и в идеале исправьте форматирование (я немного помогу). Например: к чему вы подключаетесь? Как в настоящее время настроены источник и цель? Какой это лог-файл, клиентский или серверный?
Рейтинг:0
флаг cn

Клиент предлагает AES в режиме CBC с HMAC-SHA2-256 в качестве защиты целостности, в то время как сервер настроен на AES в режиме GCM (AEAD, комбинированный режим, включающий шифрование и защиту целостности). Изменять либо из них, чтобы соединение работало.

На клиенте используйте VpnConnectionIPsecConfiguration ...-Метод шифрования GCMAES128... чтобы использовать 128-битный AES-GCM для IKEv2.

На сервере вы можете изменить предложения IKE, добавив еще одно с помощью aes128 и ша256 (AEAD и классические алгоритмы должны быть в отдельных предложениях, т.е. aes128gcm16-prfsha256-ecp256, aes128-sha256-ecp256), клиенты затем могут свободно использовать тот или иной или заменить aes128gcm16 с aes128-sha256 в существующем предложении.

У вас может быть аналогичная проблема с предложением ESP, которую вы можете исправить аналогичным образом (на клиенте Windows, -CipherTransformConstants GCMAES128 настраивает AES-GCM для ESP).

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.