Score:1

ปัญหาเกี่ยวกับการเชื่อมต่อไคลเอนต์ Windows 10 ระยะไกลหลายเครื่องกับ Strongswan ด้วยใบรับรองการเข้ารหัสแบบเข้ารหัส (IKEv2-EAP)

ธง de

ฉันตั้งค่าเซิร์ฟเวอร์ Strongswan สำหรับไคลเอนต์ VPN เพื่อเข้าถึงเครือข่ายภายใน (EAP-IKEv2) ฉันกำหนดค่าได้สำเร็จโดยใช้ใบรับรองเซิร์ฟเวอร์ Letsencrypt และใช้งานได้กับไคลเอนต์ที่ใช้ Mac OS X, IOS, Winodws 7 และ Windows 10

ทุกอย่างทำงานได้ดีเป็นเวลาหนึ่งปี

แต่เมื่อไม่กี่สัปดาห์ที่ผ่านมาไคลเอ็นต์ระยะไกลหลายเครื่องที่ใช้ Windows 10 เริ่มได้รับข้อผิดพลาดระหว่างการเชื่อมต่อ

เซิร์ฟเวอร์: Strongswan เวอร์ชัน 5.8.2 บนไคลเอนต์ FreeBSD 11.2-RELEASE-p15: Mac OS X (หลายเวอร์ชัน) / IOS (หลายเวอร์ชัน) / Windows 7 (หลายเวอร์ชัน) / Windows 10 (หลายเวอร์ชัน)

ข้อผิดพลาด Windows 10 VPN: 13801: ข้อมูลรับรองความถูกต้องของ IKE เป็นข้อผิดพลาดที่ยอมรับไม่ได้

ในขณะเดียวกัน รีโมตไคลเอ็นต์อื่นๆ รวมถึงไคลเอ็นต์ที่ใช้ Windows 10 ที่มีหมายเลขบิลด์เดียวกันก็ใช้งานได้ดี

สิ่งที่น่าเศร้าที่สุดคือข้อผิดพลาดไม่สัมพันธ์กับหมายเลขบิลด์ของ Windows 10

แน่นอนว่าใบรับรองนั้นขยายออกไปและถูกต้อง

คุณสามารถดูรายละเอียดทั้งหมดด้านล่าง

ขอขอบคุณสำหรับเวลาของคุณ. ฉันจะขอบคุณสำหรับความช่วยเหลือใด ๆ

ipsec.conf

  การตั้งค่าคอนฟิก
  เข้มงวดcrlpolicy=ไม่
  charondebug="ike 1, knl 1, cfg 0"
  รหัสเฉพาะ=ไม่มี

เชื่อมต่อ ikev2-vpn
  อัตโนมัติ = เพิ่ม
  บีบอัด=ไม่
  พิมพ์=ขนส่ง
  การแลกเปลี่ยนคีย์=ikev2
  การกระจายตัว = ใช่
  ฟอร์ซเอนแคป=ใช่

  ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4096,aes12-modp4096,aes12-modp4096,aes12-modp256,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha1-modp4096,aes256-sha256-modp4096 aes128-sha1-modp1536, aes256-sha384-modp2048, aes256-sha2
  ESP = AES128GCM16-ECP256, AES256GCM16-ECP384, AES128-Sha256-ECP256, AES256-Sha384-ECP384, AES128-Sha256-MODP2048 modp4096,aes128-sha256-modp1536,aes128-sha1-modp1

  dpdaction=ชัดเจน
  dpddelay=300 วินาที
  คีย์ใหม่ = ไม่

  ซ้าย = % ใด ๆ
  [email protected]
  leftcert=fullchain.pem
  leftsendcert=เสมอ
  leftsubnet=0.0.0.0/0

  ขวา=%ใดๆ
  rightid=%ใดๆ
  rightauth=eap-mschapv2
  rightsourceip=192.168.20.2-192.168.20.50
  rightdns=192.168.70.253,192.168.70.254

  eap_identity=%เอกลักษณ์

ส่วนสุดท้ายของ charon.log

23 มิ.ย. 09:12:17 น. 11[MGR] <ikev2-vpn|10> เช็คอิน IKE_SA ikev2-vpn[10]
23 มิ.ย. 09:12:17 03[NET] กำลังส่งแพ็คเก็ต: จาก *serverip*[4500] ถึง *clientip*[4500]
23 มิ.ย. 09:12:17 น. 11[MGR] <ikev2-vpn|10> เช็คอิน IKE_SA สำเร็จ
23 มิ.ย. 09:12:17 03[NET] กำลังส่งแพ็คเก็ต: จาก *serverip*[4500] ถึง *clientip*[4500]
23 มิ.ย. 09:12:46 06[NET] กำลังรอข้อมูลบนซ็อกเก็ต
23 มิ.ย. 09:12:46 01[JOB] มีงาน งานเข้าคิวรอดำเนินการ
23 มิ.ย. 09:12:46 01[JOB] งานต่อไปในอีก 628ms กำลังรอ
23 มิ.ย. 09:12:46 11[MGR] ชำระเงิน IKEv2 SA พร้อม SPI 688d0386698d3362_i b3e60629dc447607_r
23 มิ.ย. 09:12:46 น. 11[MGR] IKE_SA ชำระเงินไม่สำเร็จ
23 มิ.ย. 09:12:47 01[JOB] มีงาน งานเข้าคิวรอดำเนินการ
23 มิ.ย. 09:12:47 01[JOB] งานต่อไปใน 98s 38ms กำลังรอ
23 มิ.ย. 09:12:47 น. [MGR] ชำระเงิน IKEv2 SA พร้อม SPI ef71603dd0f2ce38_i 6e86dbaeb491d377_r
23 มิ.ย. 09:12:47 น. 11[MGR] IKE_SA ikev2-vpn[10] เช็คเอาท์เรียบร้อยแล้ว
23 มิ.ย. 09:12:47 น. 11[JOB] <ikev2-vpn|10> กำลังลบ IKE_SA ครึ่งเปิดด้วย *clientip* หลังจากหมดเวลา
23 มิ.ย. 09:12:47 น. 11[MGR] <ikev2-vpn|10> เช็คอินและทำลาย IKE_SA ikev2-vpn[10]
23 มิ.ย. 09:12:47 11[IKE] <ikev2-vpn|10> IKE_SA ikev2-vpn[10] การเปลี่ยนสถานะ: CONNECTING => DESTROYING
23 มิ.ย. 09:12:47 น. 11[MGR] เช็คอินและทำลาย IKE_SA สำเร็จ
cn flag
โพสต์ข้าม [ที่นี่](https://github.com/strongswan/strongswan/discussions/473)
Score:1
ธง cn

ฉันมีปัญหาเดียวกัน แก้ไขได้ด้วยการเพิ่ม Let's Encrypt root CA cert ล่าสุดลงใน เครื่องท้องถิ่น ร้านค้าใบรับรอง

ไม่สามารถรับประกันได้ว่านี่เป็นปัญหาเดียวกันกับที่คุณมี แต่ได้แก้ไขให้ฉันแล้ว ฉันได้เพิ่มใบรับรองเดียวกันรุ่น PEM ลงใน /etc/ipsec/cacerts dir บนเซิร์ฟเวอร์ VPN ซึ่งโดยตัวมันเองไม่ได้แก้ไขปัญหา

นี่คือสคริปต์ PowerShell เพื่อติดตั้งใบรับรองหลักในที่เก็บใบรับรอง Windows ในเครื่องของคุณ:

    โฮสต์การเขียน "กำลังดึงข้อมูลให้เข้ารหัสใบรับรอง CA รูท..." -ForegroundColor Cyan
    $output = "isrgrootx1.der"
    $configUrl = "https://letsencrypt.org/certs/isrgrootx1.der"
    เรียกใช้ WebRequest -Uri $configUrl -OutFile $output
    นำเข้าใบรับรอง -FilePath "$ output" -CertStoreLocation 'Cert:\LocalMachine\Root'-Verbose
Alexey Rusanovsky avatar
de flag
สวัสดี! การติดตั้งใบรับรองหลักช่วยได้ ก่อนหน้านั้น ฉันได้ติดตั้งใบรับรองเองในที่เก็บข้อมูลส่วนตัว
Score:0
ธง me

ฉันมีปัญหาเดียวกัน สคริปต์ powershell ที่กำหนดโดย @StampyCode ใช้งานได้ แต่ผู้ใช้ก็เข้ามาเยี่ยมชมเช่นกัน https://valid-isrgrootx1.letsencrypt.org/ เปิดใช้งานใบรับรอง ISRG Root X1 บนเครื่องและแก้ไขปัญหาด้วย

สคริปต์นี้เหมาะอย่างยิ่งหากคุณสามารถปรับใช้กับเครื่องหลายเครื่องที่คุณจัดการได้ แต่สำหรับแต่ละกรณี การบอกให้ผู้ใช้ไปที่เว็บไซต์นั้นง่ายกว่ามาก ซึ่งในกรณีนี้ Windows จะเปิดใช้งานใบรับรองหลักโดยอัตโนมัติ

ฉันหวังว่า Microsoft จะเปิดใช้งาน ISRG Root X1 เป็นค่าเริ่มต้น

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา