Достучаться до IKEV2: почему не работает на Win?

Question

[Markscheider]

• Есть настроенный сервер, соединение по протоколу IKEV2 принимает Cisco ASA
  
• Сертификат на ASA (by Sectigo) - обычный, для сайтов. Если по адресу сервера зайти браузером - сертификат принимается.
  
• Из под макоси и линукса подключается и работает без проблем
  
• В винде - ошибка 13081 (Неприемлимые учетные данные проверки подлинности IKE)
  
  

Этапы большого пути:
1. Сначала была ошибка сопоставления групповой политики. Ее поборол путем добавления в реестр параметра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256 и установки его в “1”

2. Далее вылезли вот эти самые неприемлимые данные. Сертификат в винду импортировал, вся цепочка на месте

Скрины

В логе винды все выглядит так, как будто хендшейк проходит, но не до конца. Сначала в логе рапортуется о том, что подключение установлено, а потом - о неудаче.

Лог

Уровень	Дата и время	Источник	Код события	Категория задачи
Ошибка	01.08.2024 17:21:26	RasClient	20227	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya установил удаленное подключение rt, которое завершилось сбоем. Возвращен код ошибки 13801.
Сведения	01.08.2024 17:21:26	RasClient	20291	Отсутствует	rt требует внимания.
Сведения	01.08.2024 17:21:11	RasClient	20291	Отсутствует	rt требует внимания.
Сведения	01.08.2024 17:21:11	RasClient	20224	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Связь с сервером удаленного доступа установлена пользователем WIN-PC\Vasya.
Сведения	01.08.2024 17:21:11	RasClient	20223	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya успешно установил связь с сервером удаленного доступа с помощью следующего устройства: 
Server address/Phone Number = 12.34.567.890
Device = WAN Miniport (IKEv2)
Port = VPN2-1
MediaType = VPN.
Сведения	01.08.2024 17:21:11	RasClient	20222	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya пытается установить связь с сервером удаленного доступа для подключения rt при помощи следующего устройства: 
Server address/Phone Number = 12.34.567.890
Device = WAN Miniport (IKEv2)
Port = VPN2-1
MediaType = VPN.
Сведения	01.08.2024 17:21:10	RasClient	20221	Отсутствует	CoID={5F**7460-****-////-****-//////////}: Пользователь WIN-PC\Vasya начал выполнять подключение VPN, используя профиль подключения per-user с именем rt. Параметры подключения: 
Dial-in User = 
VpnStrategy = IKEv2
DataEncryption = Requested
PrerequisiteEntry = 
AutoLogon = No
UseRasCredentials = Yes
Authentication Type = EAP <Microsoft: защищенный пароль (EAP-MSCHAP v2)>
Ipv4DefaultGateway = Yes
Ipv4AddressAssignment = By Server
Ipv4DNSServerAssignment = By Server
Ipv6DefaultGateway = Yes
Ipv6AddressAssignment = By Server
Ipv6DNSServerAssignment = By Server
IpDnsFlags = 
IpNBTEnabled = Yes
UseFlags = Private Connection
ConnectOnWinlogon = No
Mobility enabled for IKEv2 = Yes.

Все указывает на то, что винде не нравится сертификат, но что с ним не так - она не говорит. Что может быть не так? Есть варианты где-то посмотреть расширенные логи?

Comments

[Ivan Ustûžanin]

винда требует, чтобы в SubjectAltName было указано символ в символ то доменное имя, которое указано в поле куда подключаться, иначе она плюётся — причём именно в subjectAltName, на CN в Subject-е ей начхать

wildcard-сертификат вроде работает, но в моём случае StrongSwan на него ругался и я сделал для него отдельный через Lets Encrypt

Answer 1

[CityCat4]

У Вас проблемы с клиентским сертификатом (юзера) или с серверным (сервера)? И у того и у другого есть отдельные специфические требования именно для винды

Answer 2

[Роман Безруков]

Все указывает на то, что винде не нравится сертификат

проблемы могут быть в свойствах сертификата (шаблон, назначение, параметры ключа и т.д.), в списке альтернативных имен, в субъекте сертификата и т.д.

вот что пишет журнал "Здоровье" по этой ошибке - что из этого проверяли/пробовали?

Error 13801: the IKE authentication credentials are invalid
You encounter this issue when either the server or client can't accept the IKE authentication credentials.

Error 13801 cause
This error can occur due to the following:

- The machine certificate used for IKEv2 validation on the RAS server doesn't have Server Authentication enabled under Enhanced Key Usage.
- The machine certificate on the RAS server expired.
- The client machine doesn't have the root certificate for validating the RAS server certificate.
- The client machine's VPN server name doesn't match the subjectName value on the server certificate.

Solution 1: verify the server certificate settings
If the issue is the RAS server machine certificate, make sure the certificate includes Server Authentication under Enhanced Key Usage.

Solution 2: make sure the machine certificate is still valid
If the issue is that the RAS machine certificate expired, make sure it's still valid. If it isn't, install a valid certificate.

Solution 3: make sure the client machine has a root certificate
If the issue is related to the client machine not having a root certificate, first check the Trusted Root Certification Authorities on the RRAS server to make sure the certification authority you're using is there. If it isn't there, install a valid root certificate.

Solution 4: make the client machine's VPN server name matches the server certificate
First, make sure the VPN client connects by using the same fully qualified domain name (FQDN) that the VPN server certificate uses. If not, change the client name to match the server certificate name.

Comments

[Markscheider]

- The machine certificate used for IKEv2 validation on the RAS server doesn't have Server Authentication enabled under Enhanced Key Usage.
- The machine certificate on the RAS server expired.
- The client machine doesn't have the root certificate for validating the RAS server certificate.
- The client machine's VPN server name doesn't match the subjectName value on the server certificate.

Эти четыре пункта ранее прочекал, не помогло

[Роман Безруков]

Markscheider,

A 13801 error can also occur if the VPN server does not have a properly configured server certificate. Ensure the VPN server has a valid certificate issued by the organization’s internal PKI that includes both the Server Authentication (OID 1.3.6.1.5.5.7.3.1) and IP security IKE intermediate (OID 1.3.6.1.5.5.8.2.2) EKUs. The subject name must match the public fully qualified domain name (FQDN) used by VPN clients to connect to the VPN server (not the server’s NetBIOS name). Again, ensure the certificate is valid (not expired), trusted, not revoked, and all necessary root and intermediate CA certificates are installed in their respective certificate stores.

отсюда

[CityCat4]

Markscheider, С каким сертификатом проблема - клиентским или серверным? И тот и другой выпускаются по специальному шаблону и отсутствие некоторых данных в сертификате и приводит к этой самой ошибке

[Markscheider]

@CityCat4
Проблема с серверным сертификатом.
Где почитать про шаблоны?

[Markscheider]

@Роман Безруков
OID 1.3.6.1.5.5.8.2.2 (ExtendedKeyUsage for Internet Key Exchange) отменили в RFC4945
Но, конечно, винда его может по-прежнему требовать. Наверное, надо в реестре где-то отключить

[Markscheider]

Роман Безруков , нет понимания, как эту опцию вырубить?
Спасибо

[Роман Безруков]

Markscheider,
1. изменить шаблон (создать новый шаблон), по которому запрашивается сертификат, исключив все EKU, кроме Server Authentication
или
2. на клиенте в реестре попробовать отключить расширенную проверку сертификатов:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters\
параметр "DisableIKENameEkuCheck" типа DWORD, значение = 1

Answer 3

[Юрий MikroTik]

Обычно решается установкой обновлений Windows