次の方法で、異なるリージョンにある2つのAWSサブネットを接続しました。StrongSwan VPNike2
そして使用aes256暗号化。したがって、マスターCAキー、自己署名CA証明書、両方のゲートウェイの秘密鍵と公開鍵が生成されます。その後roadwarriorの証明書を生成し、それをwin10クライアントにフォーマットでエクスポートしましたp12
。
2 つの LAN 間の接続は良好ですが、roadwarrior クライアントを接続できません。
証明書をwin10にインポートし、通常は証明書マネージャで証明書を表示できます。
その後、Windows 10 VPNクライアントを使用してVPN構成を作成し、それを実行すると次のWindowsメッセージが表示されました。
A certificate could not be found that can be used with this Extensible Authentication Protocol
。
チェックインcertmagr
すべてが正しい場所にあります。
使用される認証方法はEAP-tlsそしてLAN to LANモデルでも問題なく動作します。
Win10 VPN セキュリティプロパティは次のように設定されます。
Type of the VPN: IKE2 ,
Data Encryption: Require encryption (disconnect if server declines)
Authentication: Use Extensible Authentication Protocol
-> Microsoft smart card or other certificates (encryption enabled)
-> Properties
---> Use certificate on this computer
---> Verify the server's identity by validating the certificate
---> Trusted Root Certificate authority
----> Both certificates CA and the client p12 certificate are visible
and checked
これはIPsec構成ファイル文書
config setup
charondebug="cfg 2, dmn 2, ike 2,net 2"
uniqueids=yes
strictcrlpolicy=no
conn %default
fragmentation=force
forceencaps=yes
rekeymargin=3m
mobike=no
keyingtries=%forever
ike=aes256-sha256-modp2048,aes256-sha2_256-modp1024!
esp=aes256-sh256,aes256-sha2_256!
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
authby=pubkey
leftcert=vpn-west-public-certificate.pem
leftsendcert=always
keyexchange=ikev2
type=tunnel
leftca="C=DE, O=Orgname, CN=Orgname Root CA"
leftid=13.57.xx.yy
left=10.0.0.208
leftsubnet=10.0.0.0/16
conn roadw
right=%any
rightid=%any
rightauth=eap-tls
rightsourceip=10.0.0.64/28
rightsendcert=never
rightdns=8.8.8.8
eap_identity=%identity
auto=add
ここにいるIPsec秘密文書
13.57.xx.yy : RSA "/etc/ipsec.d/private/vpn-west-private-key.pem"
username : EAP "passphrase"
どこから始めるべきかわからず、windows10がセッションを開始しないようで、Win10のVPNクライアント構成に問題があるようです。