- Есть настроенный сервер, соединение по протоколу IKEV2 принимает Cisco ASA
- Сертификат на ASA (by Sectigo) - обычный, для сайтов. Если по адресу сервера зайти браузером - сертификат принимается.
- Из под макоси и линукса подключается и работает без проблем
- В винде - ошибка 13081 (Неприемлимые учетные данные проверки подлинности IKE)
Этапы большого пути:
1. Сначала была ошибка сопоставления групповой политики. Ее поборол путем добавления в реестр параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256 и установки его в “1”
2. Далее вылезли вот эти самые неприемлимые данные. Сертификат в винду импортировал, вся цепочка на месте
В логе винды все выглядит так, как будто хендшейк проходит, но не до конца. Сначала в логе рапортуется о том, что подключение установлено, а потом - о неудаче.
Лог
Уровень Дата и время Источник Код события Категория задачи
Ошибка 01.08.2024 17:21:26 RasClient 20227 Отсутствует CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya установил удаленное подключение rt, которое завершилось сбоем. Возвращен код ошибки 13801.
Сведения 01.08.2024 17:21:26 RasClient 20291 Отсутствует rt требует внимания.
Сведения 01.08.2024 17:21:11 RasClient 20291 Отсутствует rt требует внимания.
Сведения 01.08.2024 17:21:11 RasClient 20224 Отсутствует CoID={5F**7460-****-////-****-//////////}: Связь с сервером удаленного доступа установлена пользователем WIN-PC\Vasya.
Сведения 01.08.2024 17:21:11 RasClient 20223 Отсутствует CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya успешно установил связь с сервером удаленного доступа с помощью следующего устройства:
Server address/Phone Number = 12.34.567.890
Device = WAN Miniport (IKEv2)
Port = VPN2-1
MediaType = VPN.
Сведения 01.08.2024 17:21:11 RasClient 20222 Отсутствует CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya пытается установить связь с сервером удаленного доступа для подключения rt при помощи следующего устройства:
Server address/Phone Number = 12.34.567.890
Device = WAN Miniport (IKEv2)
Port = VPN2-1
MediaType = VPN.
Сведения 01.08.2024 17:21:10 RasClient 20221 Отсутствует CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya начал выполнять подключение VPN, используя профиль подключения per-user с именем rt. Параметры подключения:
Dial-in User =
VpnStrategy = IKEv2
DataEncryption = Requested
PrerequisiteEntry =
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = EAP <Microsoft: защищенный пароль (EAP-MSCHAP v2)>
Ipv4DefaultGateway = Yes
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags =
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No
Mobility enabled for IKEv2 = Yes.
Все указывает на то, что винде не нравится сертификат, но что с ним не так - она не говорит. Что может быть не так? Есть варианты где-то посмотреть расширенные логи?