Windows 10, встроенная в VPN
Я пытаюсь настроить Windows, встроенную в VPN, с asa 5505, используя IPsec / L2TP с IKEv1. Удаленный доступ vpn с помощью psk.
У меня возникла ошибка несоответствия на этапе 1, и я не могу понять, какое предложение IPsec используется в Windows 10, поэтому могу сопоставить на стороне Asa5505 !? То есть метод аутентификации, алгоритм хеширования, алгоритм шифрования, группа DH и время жизни.
Итак, какое предложение IPsec использует Windows 10 со встроенным клиентом VPN, и можно ли это изменить?
Есть какие-нибудь советы и уловки?
С уважением.
Я также обнаружил как редактировать эти настройки: Брандмауэр Windows с повышенной безопасностью -> (правая панель) Свойства -> Настройки IPsec -> Настроить параметры IPsec по умолчанию -> Обмен ключами (расширенный)
У вас должна быть возможность установить параметры в настройках VPN (щелкните правой кнопкой мыши, свойства VPN-соединения в сети и совместного использования), а затем отрегулируйте, как Windows обрабатывает PSK для L2TP. Я полагаю , что по умолчанию используются сертификаты, а не PSK (поскольку он этого не знает). Он будет пробовать несколько разных типов VPN, пока не найдет тот, который работает (или потратит много времени на SSL ...), но вы можете явно указать ему использовать L2TP.
Взгляните на вкладку «Безопасность», выберите тип VPN и расширенные настройки, чтобы установить, как Windows пытается аутентифицироваться. Ниже приведены протоколы и еще много чего.
Значения по умолчанию перечислены Microsoft здесь http://support.microsoft.com/en-us/kb/325158
Этот вопрос немного устарел, но я решил поделиться своим опытом работы с L2TP / IPSec с использованием PSK в Windows 10, кому-нибудь это может пригодиться.
Я экспериментировал с L2TP / IPsec соединениями. между ПК с Windows 10 и маршрутизатором Mikrotik на днях. Анализируя журнал уровня отладки Mikrotik, я выяснил, что Windows 10 (версия 1511) предлагает следующие настройки аутентификации и шифрования во время обмена ключами (в этом порядке приоритета):
- SHA1 + AES-CBC-256 + ECP384
- SHA1 + AES-CBC-128 + ECP256
- SHA1 + AES-CBC-256 + MODP2048
- SHA1 + 3DES-CBC + MODP2048
- SHA1 + 3DES-CBC + MODP1024
Для согласования Phase2 в Windows 10 есть только следующее предложение:
- SHA1 + AES-CBC-128
Кажется, все эти настройки жестко запрограммированы в системе, поскольку клиент L2TP / IPsec игнорировал любые изменения Я сделал "Настройки IPSec" в Advanced Windows Firewall MMC.
Я даже пробовал взломать реестр, но мне не удалось принудительно использовать AES256 для фазы 2: https://superuser.com/questions/1296210/ force-windows-ipsec-l2tp-vpn-to-use-aes-in-ipsec-main-mode
Я знаю, что 1511 - устаревшая версия Win10, но она была доступна на моем рабочем ноутбуке. В более новой версии могут быть некоторые улучшения (например, более эффективное шифрование AES-GCM), но для меня комбинация SHA1 и 256-битного AES-CBC с эллиптической кривой Диффи-Хеллмана P-384 предлагает достаточно надежную и быструю безопасность в настоящее время. . Для трафика SHA1 + AES128 - не самый безопасный вариант, но для него не требуется много ресурсов.
Обновление: Я проверил Win10 версии 1803. Предложения для этапа 1 такие же, но для этапа 2 теперь предлагает Windows SHA1 + AES-CBC-256 тоже (помимо SHA1 + AES-CBC-128). Наборы CTR или GCM по-прежнему не поддерживаются. Ни хеширование SHA256 для аутентификации.
Я добился некоторых успехов с помощью PowerShell для изменения настроек фазы 1 и 2
Set-VpnConnectionIPsecConfiguration -ConnectionName test -EncryptionMethod AES128 -DHGroup ECP256 -IntegrityCheckMethod SHA256 -PformnsformsGhentication -PformSFormsGroup GCMAES128