Как настроить VPN-подключение в Windows 10 по IKEv2?

Question

[mphys]

Я полный профан, искренне надеюсь на помощь простыми словами :)

На удаленном сервере с OS Debian по вот этому гайду с использованием strongSwan организовал для себя VPN. Все отлично работает на iPhone и Mac, однако для подключения с Windows нужно проделать какие-то дополнительные манипуляции, потому что ни так, ни этак подключится не удается. Ошибки подключения разные, в зависимости от настроек создаваемого подключения в Windows.

Если делать подключение в лоб:

вот так

то получаем ошибку сопоставления групповой политики:

ошибка

В свойствах подключения можно переставить проверку подлинности на "Использовать сертификаты компьютеров":

настройки vpn

правда это ничего не меняет.

Вот этот мануал по strongSwan'у подсказывает, что "By default Windows 7 up to Windows 11 propose only the weak modp1024 Diffie-Hellman key exchange algorithm" и предлагает соотвествующую настройку для ipsec.conf:

ike = 3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024

О том, что именна эта строчка портит малину подсказывают коллеги из комментов в оригинальной статье на vc.ru:

скриншот комментариев

мне, правда, это не помогло :(

Из какого-то источника, который я уже не могу нагуглить, я узнал что на компьютере нужно иметь корневой сертификат, который я создал на удаленном сервере. Сертификат был создан в формате *.pem, установить его в Windows я смог только переименовав файл в *.der и кликнув по нему два раза. Создать сертификат с помощью pki в формате, который винда переварила бы by-design я не смог. Установка сертификата в хранилице "Доверенных корневых центров сертификации" не помогла.

Вот эта статья из мануала strongSwan подсказывает, что для windows сертификат должен быть сгенерирован с дополнительным ключом:
subjectAltName = DNS:<YOUR_VPS_IP>
но увы и это мне тоже не помогло.

В конце уже упомянутого выше мануала есть ссылки, в том числе на Configuring strongSwan for Windows clients для случая, когда Windows client "Using Passwords with EAP-MSCHAPv2", однако он предлагает конфигурировать файл swanctl.conf, а у меня конфигурация уже задана в ipsec.conf, понять как одно с другим связано квалификации моей не хватает :(

Вобщем, достаточно разрозненный набор фактов выглядит вот так, очень прошу помощь от гуру.

Почему я не купил готовый сконфигурированный сервер?

Да

Answer 1

[ValdikSS]

Вот моя статья 2015 года, по крайней мере, на тот момент Windows подключался к такому серверу без дополнительной конфигурации.
https://habr.com/ru/post/250859/

Comments

[mphys]

Спасибо, попробую создать ключи по вашему гайду и сконфигурировать ipsec.conf как в статье, но сдается мне дело не в сервере, а в настройках 10-й винды.

[ValdikSS]

mphys, Не обязательно настраивать именно ключи, скорее всего, достаточно будет скопировать набор ciphersuite'ов и другую конфигурацию.

[di_madsen]

ValdikSS, после копирования набора ciphersuite'ов слетает профиль подключения к vpn на ios, а vpn винды начинает ругаться на отсутствие сертификата

[ValdikSS]

di_madsen, Сертификат нужно использовать из доверенного центра сертификации. Если есть только IP-адрес, а не домен, то его можно выпустить у ZeroSSL. Про iOS не подскажу.

[di_madsen]

Работает на ios и mac при таком ike=aes128gcm16-sha2_256-prfsha256-ecp256!

Вообще как правильно прописывать их через "-" или "_"?
У них в документации через "-" ike = 3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024

[ValdikSS]

di_madsen, Ну добавьте этот набор в профиль. Они через запятые перечисляются.

[mphys]

ValdikSS, Вот у меня кстати домена нет, только IP, что нужно сделать?)

[di_madsen]

ValdikSS, правильно ли я понимаю, что нужно вот так?
ike=aes128gcm16-sha2_256-prfsha256-ecp256, 3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024!

[ValdikSS]

di_madsen, Попробуйте так, сходу не подскажу.

[di_madsen]

Пока с таким параметром хочу попытаться сконфигурировать, чтобы завести на windows
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024

При подключении такая ошибка:
Ike не удалось найти действительный сертификат компьютера. Сертификат устанавливал в доверенные корневые сертификаты. Сам сертификат получил вот таким способом
openssl pkcs12 -export -inkey /etc/ipsec.d/private/me.pem -in /etc/ipsec.d/certs/me.pem -name "me" -certfile /etc/ipsec.d/cacerts/ca.pem -out cert.p12

[ValdikSS]

di_madsen, Так точно не получится, нужно хотя бы правильный IP-адрес или DNS-имя в Common Name и Subject Alt Names.
Запросите лучше сертификат у ZeroSSL, VPN будет работать без добавления CA в ключницу.

[di_madsen]

ValdikSS, а почему? Я сам сертификат создавал из инструкции https://vc.ru/dev/66942-sozdaem-svoy-vpn-server-po... раздел "Создаем сертификаты доступа"
Приведённой выше командой я только перевёл его в формат p12

[di_madsen]

На машину где сервер VPN необходимо укладывать сертификат?

[ValdikSS]

di_madsen,
Инструкция по ссылке выше настраивает аутентификацию с помощью клиентского сертификата. Необходимо импортировать в Windows CA (cacerts/ca.pem) в ключницу «доверенные центры сертификации» (возможно, компьютера, а не пользователя, но не в обе!!!), клиентский сертификат (certs/me.pem) вместе с приватным ключом (private/me.pem) импортировать в «персональную» пользовательскую ключницу, вот только сначала придётся сертификат и приватный ключ объединить в контейнер pkcs12, иначе он не импортируется.
Попробуйте следующую команду, она должна создать pkcs12-контейнер my.p12. Пишу по памяти (вернее, подсматривая в исходники моей easy-rsa-ipsec), не проверял:

openssl pkcs12 -in certs/my.pem -inkey private/my.pem -export -name  my -out my.p12 -certfile cacerts/ca.pem -passout pass:123

Если сработало, этот файл нужно скачать на компьютер с Windows, и просто кликнуть по нему двойным щелчком, далее-далее-далее. Пароль на импорт — 123.

Если не хочется ничего импортировать, можно получить бесплатный сертификат от публичного центра сертификации ZeroSSL на IP-адрес сервера, а сервер перенастроить на использование логина и пароля (EAP-MSCHAPv2).

Вы осознанно следовали сложной инструкции, отвергающей готовые для конечного пользователя скрипты по настройке, да еще и предлагающей удалять приватный ключ от CA «для надёжности, он нам больше не потребуется»? Может, лучше воспользоваться скриптами вроде https://github.com/hwdsl2/docker-ipsec-vpn-server ?

А может, вы и вовсе ищете не просто VPN, а АнтиЗапрет?

[di_madsen]

ValdikSS, Попробовал сделать по вашей инструкции, результат не изменился. Так же не удаётся найти сертификат. Причём по ответу ещё одного пользователя, инструкцию которую я не могу сейчас нагуглить, предлагалось указать принудительно для Vpn сертификат что-то типа Get-ChildItem Cert:\LocalMachine\Root\ | ? SerialNumber и Set-VpnConnection -Name -MachineCertificateIssuerFilter $ca

А так ничего целенаправленно не игнорировалось. Просто та инструкция нагуглилась быстрее + и интересовал только ios по-началу. И по ней завелось с первого раза.
Но я обязательно на днях посмотрю ссылку на гитхабе, что Вы скинули, если это поможет, будет здорово

[ValdikSS]

di_madsen, не нужно делать по моей инструкции (если вы о той, что на хабре) — там тоже используются самоподписные сертификаты. Вам также придётся импортировать сертификат, если вы ей следуете.

[di_madsen]

ValdikSS, я об этом

Инструкция по ссылке выше настраивает аутентификацию с помощью клиентского сертификата. Необходимо импортировать в Windows CA (cacerts/ca.pem) в ключницу «доверенные центры сертификации» (возможно, компьютера, а не пользователя, но не в обе!!!), клиентский сертификат (certs/me.pem) вместе с приватным ключом (private/me.pem) импортировать в «персональную» пользовательскую ключницу, вот только сначала придётся сертификат и приватный ключ объединить в контейнер pkcs12, иначе он не импортируется.
Попробуйте следующую команду, она должна создать pkcs12-контейнер my.p12. Пишу по памяти (вернее, подсматривая в исходники моей easy-rsa-ipsec), не проверял:

[ValdikSS]

di_madsen,

cd /etc/ipsec.d
openssl pkcs12 -in certs/me.pem -inkey private/me.pem -export -name me -out me.p12 -certfile cacerts/ca.pem -passout pass:123

Импортировать получившийся me.p12 следует И в ключницу компьютера ("local machine"), И в пользовательскую ("current user"), т.е. два раза. У меня заработало сразу же (с моим конфигом ipsec.conf), без дополнительных настроек.

[ValdikSS]

Обратите внимание: добавление корневого сертификата в ключницу компьютера позволит любому, у кого есть приватный ключ от этого сертификата, прослушивать и подменять трафик на любых веб-сайтах.

[di_madsen]

ValdikSS, Огромное спасибо. Всё заработало.
В итоге работает и на ios и на windows. Скоро куплю роутер с поддержкой ikev2, и буду разбираться, как там настроить

Что ввёл в настройки

ike=aes128gcm16-sha2_256-prfsha256-ecp256, aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!

esp=aes128gcm16-sha2_256-ecp256, aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

[mphys]

di_madsen, Можете собрать воедино теперь всё что вы сделали? Сделал сертификат как описали выше с помощью OpenSSL, закинул в хранилища локальное и компьютера. ca.pem из папки cacerts пробовал закидывать и туда, и туда. Результат одинаковый: "IKE не удалось найти действительный сертификат компьютера. Обратитесь к администратору...".

[di_madsen]

mphys,
изменил в конфигурации

ike=aes128gcm16-sha2_256-prfsha256-ecp256, aes256gcm16-aes256gcm12-aes128gcm16-aes128gcm12-sha256-sha1-modp2048-modp4096-modp1024,aes256-aes128-sha256-sha1-modp2048-modp4096-modp1024,3des-sha1-modp1024!

esp=aes128gcm16-sha2_256-ecp256, aes128gcm12-aes128gcm16-aes256gcm12-aes256gcm16-modp2048-modp4096-modp1024,aes128-aes256-sha1-sha256-modp2048-modp4096-modp1024,aes128-sha1-modp2048,aes128-sha1-modp1024,3des-sha1-modp1024,aes128-aes256-sha1-sha256,aes128-sha1,3des-sha1!

Создал сертификат

cd /etc/ipsec.d
openssl pkcs12 -in certs/me.pem -inkey private/me.pem -export -name me -out me.p12 -certfile cacerts/ca.pem -passout pass:123

Скопировал его на раб стол windows. Нажал на него и установил в ключницу компьютера и пользователя.
Создал vpn подключение. В свойствах подклчения установил сертификат

[Shurik82]

di_madsen, Приветствую сделал всё по вашей инструкции, но что то не проканало подключение из 11 винды уже.
12[CFG] selected peer config 'ikev2-pubkey'
12[IKE] peer requested EAP, config unacceptable
12[CFG] no alternative config found
12[IKE] peer supports MOBIKE
12[ENC] generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]

Answer 2

[CityCat4]

Вот здесь в комментариях есть ссылка на статью, где описано построение туннеля винда-микротик и винда-линух. Там вся проблема в основном в том, что нужно сгенерить сертификаты на каждый комп и их расставить, а убедить юзера поставить сертификат в область компьютера - это еще тот квест. Но стоит его пройти - и все взлетает (если в области компьютера нет других сертификатов)

Да, "использовать сертификаты компьютеров" - единственный рабочий вариант, причем он не требует никаких шаманских действий с регистром.

Answer 3

[ewgenc]

Чем outline не устроил? В два клика ставится, удобно раскидывать ключи по устройствам.

Answer 4

[Azavr]

У меня также были проблемы с подключением vpn ipsec ikev2 на windows 10. Яиспользовал этот гайд и мне помогло

Answer 5

[markindim]

Добрый день!
В итоге решение найдено было?
Поделитесь, если было решено