And*_*eas 3 vpn ipsec windows-10
我正在尝试使用带有 IKEv1 的 IPsec/L2TP 设置带有 asa 5505 的 Windows 内置 VPN。使用 psk 远程访问 vpn。
我在第 1 阶段遇到了不匹配错误,我无法弄清楚 Windows 10 正在使用什么 IPsec 提议,所以我可以在 Asa5505 端进行匹配!?即身份验证方法、哈希算法、加密算法、DH 组和生命周期。
那么,Windows 10 使用内置 VPN 客户端的 IPsec 提议是什么,是否有可能改变这一点?
有什么技巧和窍门吗?
问候。
这个问题有点老了,但我决定分享我在 Windows 10 中使用 PSK 使用 L2TP/IPSec 的经验,有人可能会发现它很有用。
前几天我正在试验 Windows 10 PC 和 Mikrotik 路由器之间的 L2TP/IPsec 连接。分析 Mikrotik 的调试级别日志,我发现 Windows 10(版本 1511)在密钥交换期间提供以下身份验证和加密设置(按此优先级顺序):
对于 Phase2 协商,Windows 10 仅具有以下建议:
似乎所有这些设置都在系统中进行了硬编码,因为 L2TP/IPsec 客户端忽略了我在高级 Windows 防火墙 MMC 的“IPSec 设置”中所做的任何更改。
我什至尝试过这个注册表黑客,但我没有设法为 phase2 强制 AES256:https : //superuser.com/questions/1296210/force-windows-ipsec-l2tp-vpn-to-use-aes-in-ipsec-主模式
我知道 1511 是 Win10 的过时版本,但可以在我的工作笔记本电脑上使用。较新的版本可能有一些改进(例如更有效的 AES-GCM 加密),但对我来说,SHA1 和 256 位 AES-CBC 与 Diffie-Hellman Elliptic Curve P-384 的组合此时提供了相当强大和快速的安全性. 对于流量,SHA1+AES128 不是最安全的选择,但它不需要太多资源。
更新:我已经检查了 Win10 版本 1803。第 1 阶段的建议是相同的,但对于第 2 阶段,Windows 现在也建议 SHA1+AES-CBC-256(除了 SHA1+AES-CBC-128)。仍然不支持 CTR 或 GCM 套件。用于身份验证的 SHA256 哈希都不是。
| 归档时间: |
|
| 查看次数: |
24442 次 |
| 最近记录: |