ฉันตั้งค่าเซิร์ฟเวอร์ Strongswan สำหรับไคลเอนต์ VPN เพื่อเข้าถึงเครือข่ายภายใน (EAP-IKEv2) ฉันกำหนดค่าได้สำเร็จโดยใช้ใบรับรองเซิร์ฟเวอร์ Letsencrypt และใช้งานได้กับไคลเอนต์ที่ใช้ Mac OS X, IOS, Winodws 7 และ Windows 10
ทุกอย่างทำงานได้ดีเป็นเวลาหนึ่งปี
แต่เมื่อไม่กี่สัปดาห์ที่ผ่านมาไคลเอ็นต์ระยะไกลหลายเครื่องที่ใช้ Windows 10 เริ่มได้รับข้อผิดพลาดระหว่างการเชื่อมต่อ
เซิร์ฟเวอร์: Strongswan เวอร์ชัน 5.8.2 บนไคลเอนต์ FreeBSD 11.2-RELEASE-p15: Mac OS X (หลายเวอร์ชัน) / IOS (หลายเวอร์ชัน) / Windows 7 (หลายเวอร์ชัน) / Windows 10 (หลายเวอร์ชัน)
ข้อผิดพลาด Windows 10 VPN: 13801: ข้อมูลรับรองความถูกต้องของ IKE เป็นข้อผิดพลาดที่ยอมรับไม่ได้
ในขณะเดียวกัน รีโมตไคลเอ็นต์อื่นๆ รวมถึงไคลเอ็นต์ที่ใช้ Windows 10 ที่มีหมายเลขบิลด์เดียวกันก็ใช้งานได้ดี
สิ่งที่น่าเศร้าที่สุดคือข้อผิดพลาดไม่สัมพันธ์กับหมายเลขบิลด์ของ Windows 10
แน่นอนว่าใบรับรองนั้นขยายออกไปและถูกต้อง
คุณสามารถดูรายละเอียดทั้งหมดด้านล่าง
ขอขอบคุณสำหรับเวลาของคุณ. ฉันจะขอบคุณสำหรับความช่วยเหลือใด ๆ
การตั้งค่าคอนฟิก
เข้มงวดcrlpolicy=ไม่
charondebug="ike 1, knl 1, cfg 0"
รหัสเฉพาะ=ไม่มี
เชื่อมต่อ ikev2-vpn
อัตโนมัติ = เพิ่ม
บีบอัด=ไม่
พิมพ์=ขนส่ง
การแลกเปลี่ยนคีย์=ikev2
การกระจายตัว = ใช่
ฟอร์ซเอนแคป=ใช่
ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes12-modp4096,aes12-modp4096,aes12-modp256,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha1-modp4096,aes256-sha256-modp4096 aes128-sha1-modp1536, aes256-sha384-modp2048, aes256-sha2
ESP = AES128GCM16-ECP256, AES256GCM16-ECP384, AES128-Sha256-ECP256, AES256-Sha384-ECP384, AES128-Sha256-MODP2048 modp4096,aes128-sha256-modp1536,aes128-sha1-modp1
dpdaction=ชัดเจน
dpddelay=300 วินาที
คีย์ใหม่ = ไม่
ซ้าย = % ใด ๆ
[email protected]
leftcert=fullchain.pem
leftsendcert=เสมอ
leftsubnet=0.0.0.0/0
ขวา=%ใดๆ
rightid=%ใดๆ
rightauth=eap-mschapv2
rightsourceip=192.168.20.2-192.168.20.50
rightdns=192.168.70.253,192.168.70.254
eap_identity=%เอกลักษณ์
23 มิ.ย. 09:12:17 น. 11[MGR] <ikev2-vpn|10> เช็คอิน IKE_SA ikev2-vpn[10]
23 มิ.ย. 09:12:17 03[NET] กำลังส่งแพ็คเก็ต: จาก *serverip*[4500] ถึง *clientip*[4500]
23 มิ.ย. 09:12:17 น. 11[MGR] <ikev2-vpn|10> เช็คอิน IKE_SA สำเร็จ
23 มิ.ย. 09:12:17 03[NET] กำลังส่งแพ็คเก็ต: จาก *serverip*[4500] ถึง *clientip*[4500]
23 มิ.ย. 09:12:46 06[NET] กำลังรอข้อมูลบนซ็อกเก็ต
23 มิ.ย. 09:12:46 01[JOB] มีงาน งานเข้าคิวรอดำเนินการ
23 มิ.ย. 09:12:46 01[JOB] งานต่อไปในอีก 628ms กำลังรอ
23 มิ.ย. 09:12:46 11[MGR] ชำระเงิน IKEv2 SA พร้อม SPI 688d0386698d3362_i b3e60629dc447607_r
23 มิ.ย. 09:12:46 น. 11[MGR] IKE_SA ชำระเงินไม่สำเร็จ
23 มิ.ย. 09:12:47 01[JOB] มีงาน งานเข้าคิวรอดำเนินการ
23 มิ.ย. 09:12:47 01[JOB] งานต่อไปใน 98s 38ms กำลังรอ
23 มิ.ย. 09:12:47 น. [MGR] ชำระเงิน IKEv2 SA พร้อม SPI ef71603dd0f2ce38_i 6e86dbaeb491d377_r
23 มิ.ย. 09:12:47 น. 11[MGR] IKE_SA ikev2-vpn[10] เช็คเอาท์เรียบร้อยแล้ว
23 มิ.ย. 09:12:47 น. 11[JOB] <ikev2-vpn|10> กำลังลบ IKE_SA ครึ่งเปิดด้วย *clientip* หลังจากหมดเวลา
23 มิ.ย. 09:12:47 น. 11[MGR] <ikev2-vpn|10> เช็คอินและทำลาย IKE_SA ikev2-vpn[10]
23 มิ.ย. 09:12:47 11[IKE] <ikev2-vpn|10> IKE_SA ikev2-vpn[10] การเปลี่ยนสถานะ: CONNECTING => DESTROYING
23 มิ.ย. 09:12:47 น. 11[MGR] เช็คอินและทำลาย IKE_SA สำเร็จ
ฉันมีปัญหาเดียวกัน แก้ไขได้ด้วยการเพิ่ม Let's Encrypt root CA cert ล่าสุดลงใน เครื่องท้องถิ่น ร้านค้าใบรับรอง
ไม่สามารถรับประกันได้ว่านี่เป็นปัญหาเดียวกันกับที่คุณมี แต่ได้แก้ไขให้ฉันแล้ว
ฉันได้เพิ่มใบรับรองเดียวกันรุ่น PEM ลงใน /etc/ipsec/cacerts dir บนเซิร์ฟเวอร์ VPN ซึ่งโดยตัวมันเองไม่ได้แก้ไขปัญหา
นี่คือสคริปต์ PowerShell เพื่อติดตั้งใบรับรองหลักในที่เก็บใบรับรอง Windows ในเครื่องของคุณ:
โฮสต์การเขียน "กำลังดึงข้อมูลให้เข้ารหัสใบรับรอง CA รูท..." -ForegroundColor Cyan
$output = "isrgrootx1.der"
$configUrl = "https://letsencrypt.org/certs/isrgrootx1.der"
เรียกใช้ WebRequest -Uri $configUrl -OutFile $output
นำเข้าใบรับรอง -FilePath "$ output" -CertStoreLocation 'Cert:\LocalMachine\Root'-Verbose
ฉันมีปัญหาเดียวกัน สคริปต์ powershell ที่กำหนดโดย @StampyCode ใช้งานได้ แต่ผู้ใช้ก็เข้ามาเยี่ยมชมเช่นกัน https://valid-isrgrootx1.letsencrypt.org/ เปิดใช้งานใบรับรอง ISRG Root X1 บนเครื่องและแก้ไขปัญหาด้วย
สคริปต์นี้เหมาะอย่างยิ่งหากคุณสามารถปรับใช้กับเครื่องหลายเครื่องที่คุณจัดการได้ แต่สำหรับแต่ละกรณี การบอกให้ผู้ใช้ไปที่เว็บไซต์นั้นง่ายกว่ามาก ซึ่งในกรณีนี้ Windows จะเปิดใช้งานใบรับรองหลักโดยอัตโนมัติ
ฉันหวังว่า Microsoft จะเปิดใช้งาน ISRG Root X1 เป็นค่าเริ่มต้น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
