Задать вопрос
@Markscheider

Достучаться до IKEV2: почему не работает на Win?

  • Есть настроенный сервер, соединение по протоколу IKEV2 принимает Cisco ASA
  • Сертификат на ASA (by Sectigo) - обычный, для сайтов. Если по адресу сервера зайти браузером - сертификат принимается.
  • Из под макоси и линукса подключается и работает без проблем
  • В винде - ошибка 13081 (Неприемлимые учетные данные проверки подлинности IKE)


Этапы большого пути:
1. Сначала была ошибка сопоставления групповой политики. Ее поборол путем добавления в реестр параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256 и установки его в “1”

2. Далее вылезли вот эти самые неприемлимые данные. Сертификат в винду импортировал, вся цепочка на месте
Скрины

66b08085cfb80137712146.png
66b080abd3138210164176.png


В логе винды все выглядит так, как будто хендшейк проходит, но не до конца. Сначала в логе рапортуется о том, что подключение установлено, а потом - о неудаче.

Лог

Уровень	Дата и время	Источник	Код события	Категория задачи
Ошибка	01.08.2024 17:21:26	RasClient	20227	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya установил удаленное подключение rt, которое завершилось сбоем. Возвращен код ошибки 13801.
Сведения	01.08.2024 17:21:26	RasClient	20291	Отсутствует	rt требует внимания.
Сведения	01.08.2024 17:21:11	RasClient	20291	Отсутствует	rt требует внимания.
Сведения	01.08.2024 17:21:11	RasClient	20224	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Связь с сервером удаленного доступа установлена пользователем WIN-PC\Vasya.
Сведения	01.08.2024 17:21:11	RasClient	20223	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya успешно установил связь с сервером удаленного доступа с помощью следующего устройства: 
Server address/Phone Number = 12.34.567.890
Device = WAN Miniport (IKEv2)
Port = VPN2-1
MediaType = VPN.
Сведения	01.08.2024 17:21:11	RasClient	20222	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya пытается установить связь с сервером удаленного доступа для подключения rt при помощи следующего устройства: 
Server address/Phone Number = 12.34.567.890
Device = WAN Miniport (IKEv2)
Port = VPN2-1
MediaType = VPN.
Сведения	01.08.2024 17:21:10	RasClient	20221	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya начал выполнять подключение VPN, используя профиль подключения per-user с именем rt. Параметры подключения: 
Dial-in User = 
VpnStrategy = IKEv2
DataEncryption = Requested
PrerequisiteEntry = 
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = EAP <Microsoft: защищенный пароль (EAP-MSCHAP v2)>
Ipv4DefaultGateway = Yes
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags = 
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No
Mobility enabled for IKEv2 = Yes.



Все указывает на то, что винде не нравится сертификат, но что с ним не так - она не говорит. Что может быть не так? Есть варианты где-то посмотреть расширенные логи?
  • Вопрос задан
  • 987 просмотров
Подписаться 1 Средний 1 комментарий
Пригласить эксперта
Ответы на вопрос 3
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
У Вас проблемы с клиентским сертификатом (юзера) или с серверным (сервера)? И у того и у другого есть отдельные специфические требования именно для винды
Ответ написан
Комментировать
@NortheR73
системный инженер
Все указывает на то, что винде не нравится сертификат
проблемы могут быть в свойствах сертификата (шаблон, назначение, параметры ключа и т.д.), в списке альтернативных имен, в субъекте сертификата и т.д.

вот что пишет журнал "Здоровье" по этой ошибке - что из этого проверяли/пробовали?
Error 13801: the IKE authentication credentials are invalid
You encounter this issue when either the server or client can't accept the IKE authentication credentials.

Error 13801 cause
This error can occur due to the following:

- The machine certificate used for IKEv2 validation on the RAS server doesn't have Server Authentication enabled under Enhanced Key Usage.
- The machine certificate on the RAS server expired.
- The client machine doesn't have the root certificate for validating the RAS server certificate.
- The client machine's VPN server name doesn't match the subjectName value on the server certificate.

Solution 1: verify the server certificate settings
If the issue is the RAS server machine certificate, make sure the certificate includes Server Authentication under Enhanced Key Usage.

Solution 2: make sure the machine certificate is still valid
If the issue is that the RAS machine certificate expired, make sure it's still valid. If it isn't, install a valid certificate.

Solution 3: make sure the client machine has a root certificate
If the issue is related to the client machine not having a root certificate, first check the Trusted Root Certification Authorities on the RRAS server to make sure the certification authority you're using is there. If it isn't there, install a valid root certificate.

Solution 4: make the client machine's VPN server name matches the server certificate
First, make sure the VPN client connects by using the same fully qualified domain name (FQDN) that the VPN server certificate uses. If not, change the client name to match the server certificate name.
Ответ написан
b1ora
@b1ora
Контакты в профиле
Обычно решается установкой обновлений Windows
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы