Tôi thiết lập một máy chủ Strongswan cho các máy khách VPN để truy cập vào mạng nội bộ (EAP-IKEv2). Tôi đã cấu hình thành công nó bằng chứng chỉ máy chủ Letsencrypt và nó hoạt động cho các máy khách sử dụng Mac OS X, IOS, Winodws 7 và Windows 10.
Mọi thứ đã hoạt động tốt trong một năm
Nhưng vài tuần trước, một số máy khách từ xa sử dụng windows 10 bắt đầu gặp lỗi trong khi kết nối
Máy chủ: Strongswan phiên bản 5.8.2 trên FreeBSD 11.2-RELEASE-p15 Máy khách: Mac OS X (nhiều phiên bản) / IOS (nhiều phiên bản) / Windows 7 (nhiều phiên bản) / Windows 10 (nhiều phiên bản)
Lỗi Windows 10 VPN: 13801: Thông tin đăng nhập xác thực IKE là lỗi không thể chấp nhận
Đồng thời, các máy khách từ xa khác, bao gồm cả những máy sử dụng Windows 10 có cùng số bản dựng, đều hoạt động tốt.
Điều đáng buồn nhất là lỗi không tương quan với số bản dựng của Windows 10
Tất nhiên chứng chỉ được gia hạn và có giá trị
Bạn có thể tìm thấy tất cả các chi tiết dưới đây.
Cảm ơn bạn đã dành thời gian. Tôi thật sự rất biết ơn những người đã giúp đỡ tôi
ipsec.conf
thiết lập cấu hình
nghiêm ngặtcrlpolicy=không
charondebug="ike 1, knl 1, cfg 0"
uniqueids=no
kết nối ikev2-vpn
auto=thêm
nén = không
loại = vận chuyển
keyexchange=ikev2
phân mảnh = có
forceencaps=yes
ike=aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes256-sha256-modp4096,aes256-sha1-modp4286,15536,15536,15536 aes128-sha1-modp1536,aes256-sha384-modp2048,aes256-sha2
đặc biệt=aes128gcm16-ecp256,aes256gcm16-ecp384,aes128-sha256-ecp256,aes256-sha384-ecp384,aes128-sha256-modp2048,aes128-sha1-modp2048,aes256-sha384-modp4096,aes128-sha69-1569-sha56-156-sha56-1 modp4096,aes128-sha256-modp1536,aes128-sha1-modp1
dpdaction=xóa
dpddelay=300s
gõ lại = không
còn lại =% bất kỳ
[email protected]
leftcert=fullchain.pem
leftsendcert=luôn luôn
leftsubnet=0.0.0.0/0
đúng =% bất kỳ
rightid=%any
rightauth=eap-mschapv2
rightsourceip=192.168.20.2-192.168.20.50
rightdns=192.168.70.253,192.168.70.254
eap_identity=%identity
phần cuối cùng của charon.log
Ngày 23 tháng 6 09:12:17 11[MGR] <ikev2-vpn|10> đăng ký IKE_SA ikev2-vpn[10]
Ngày 23 tháng 6 09:12:17 03[NET] gửi gói tin: từ *serverip*[4500] tới *clientip*[4500]
Ngày 23 tháng 6 09:12:17 11[MGR] <ikev2-vpn|10> đăng ký IKE_SA thành công
Ngày 23 tháng 6 09:12:17 03[NET] gửi gói tin: từ *serverip*[4500] tới *clientip*[4500]
23 tháng 6 09:12:46 06[NET] chờ dữ liệu trên ổ cắm
23/06 09:12:46 01[JOB] có sự kiện, xếp hàng chờ thực thi
Ngày 23 tháng 6 09:12:46 01[JOB] sự kiện tiếp theo sau 628 mili giây, đang chờ
Ngày 23 tháng 6 09:12:46 11[MGR] thanh toán IKEv2 SA với SPI 688d0386698d3362_i b3e60629dc447607_r
Ngày 23 tháng 6 09:12:46 11[MGR] Thanh toán IKE_SA không thành công
23/06 09:12:47 01[JOB] có sự kiện, xếp hàng chờ thực thi
23 tháng 6 09:12:47 01[JOB] sự kiện tiếp theo trong 98s 38ms, đang chờ
Ngày 23 tháng 6 09:12:47 11[MGR] thanh toán IKEv2 SA với SPI ef71603dd0f2ce38_i 6e86dbaeb491d377_r
Ngày 23 tháng 6 09:12:47 11[MGR] IKE_SA ikev2-vpn[10] đã kiểm xuất thành công
Ngày 23 tháng 6 09:12:47 11[JOB] <ikev2-vpn|10> xóa IKE_SA đang mở một nửa bằng *clientip* sau khi hết thời gian chờ
Ngày 23 tháng 6 09:12:47 11[MGR] <ikev2-vpn|10> đăng ký và hủy IKE_SA ikev2-vpn[10]
Ngày 23 tháng 6 09:12:47 11[IKE] <ikev2-vpn|10> IKE_SA ikev2-vpn[10] thay đổi trạng thái: KẾT NỐI => PHÁ HỦY
Ngày 23 tháng 6 09:12:47 11[MGR] đăng ký và hủy IKE_SA thành công
