web-dev-qa-db-fra.com

VPN Strongswan IKEv2 sur le client Windows 10 "erreur de correspondance de stratégie"

J'ai la dernière version de Strongswan vpn sur mon serveur Ubuntu en cours d'exécution. J'ai suivi ce tutoriel ici et l'ai fait fonctionner sur mon Android et Iphone.

Maintenant, je veux le faire fonctionner sur mon ordinateur portable Windows 10, mais lorsque j'essaie de me connecter via les paramètres VPN dans Windows, je n'obtiens qu'une "erreur de correspondance de stratégie" et la vue des événements me donne le code d'erreur "13868".

Après beaucoup de recherches sur Google, je ne trouve toujours pas de solution de travail.

Que puis-je faire?

3
sirzento

Le problème est très probablement que le client Windows propose un groupe Diffie-Hellman (DH) faible (MODP 1024 bits). Ce groupe n'est plus utilisé par strongSwan à moins que l'utilisateur ne le configure explicitement.

Vous avez deux options:

  1. Configurez Windows pour utiliser un groupe DH plus fort. Cela peut être fait soit
    • via Set-VpnConnectionIPsecConfiguration applet de commande PowerShell, qui permet d'activer des groupes DH plus forts (par exemple, groupe MODP 14/2048 bits ou ECP 384 bits) et même d'autres algorithmes (par exemple, cryptage/intégrité en mode combiné AES-GCM , qui est plus efficace, mais doit également être activé explicitement sur le serveur)
    • ou via le registre en ajoutant la clé DWORD HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256. Réglez-le sur 1 pour activer (les autres algorithmes sont toujours proposés), ou 2 pour imposer l'utilisation de l'AES-CBC 256 bits et du MODP DH 2048 bits (seuls ceux-ci seront proposés).
  2. Ajoutez le groupe DH faible proposé (MODP 1024 bits) à la proposition IKE sur le serveur (par exemple, configurez quelque chose comme ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024, qui l'ajoute à la fin afin que d'autres clients puissent utiliser des groupes DH plus forts).

L'option 1 est définitivement préférée.

7
ecdsa