Как победить ошибку сопоставления политики IKEv2?

Question

[yourfatherinlaw]

На микротике использую такой конфиг

/ip ipsec mode-config
add address-pool=ikev2-laptops address-prefix-length=32 name=ikev2-vpn-laptops \
    split-dns=мойдомен.com split-include=192.168.200.0/23,10.0.0.0/8 static-dns=\
    192.168.200.8,10.74.180.111 system-dns=no
/ip ipsec policy group
add name=IKEv2-vpn-laptops
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5 enc-algorithm=\
    aes-256,aes-128,3des
add dh-group=modp4096,modp3072,modp2048 dpd-interval=2m dpd-maximum-failures=5 \
    enc-algorithm=aes-256,aes-192 hash-algorithm=sha256 name=IKEv2
/ip ipsec peer
add exchange-mode=ike2 name=IKEv2-peer passive=yes profile=IKEv2
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1,md5 enc-algorithms=\
    aes-256-cbc,aes-128-cbc,3des
add auth-algorithms=sha256 enc-algorithms=\
    aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm \
    name=IKEv2 pfs-group=modp2048
/ip ipsec identity
add auth-method=eap-radius certificate=\
    "*.мойдомен.ru,GlobalSign GCC R3 DV TLS CA 2020" generate-policy=port-strict \
    mode-config=ikev2-vpn-laptops peer=IKEv2-peer policy-template-group=\
    IKEv2-vpn-laptops
add auth-method=eap-radius certificate=vpn.мойдомен.ru,CA comment=\
    "IKEv2 eap radius" disabled=yes generate-policy=port-strict mode-config=\
    ikev2-vpn-laptops peer=IKEv2-peer policy-template-group=IKEv2-vpn-laptops
/ip ipsec policy
add comment="ikev2 certs" disabled=yes group=*4 proposal=IKEv2 template=yes
add comment="IKEv2 EAP" dst-address=0.0.0.0/0 group=IKEv2-vpn-laptops proposal=\
    IKEv2 src-address=0.0.0.0/0 template=yes

Подключаюсь с iphone - работает. С винды сначала получал ошибку 13868, пришлось добавить в реестр

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256

дальше началась ошибка сопоставления политики. NPS сервер говорит всё ок. Микротик выдаёт адрес, но пишет no proposal chosen.

Answer 1

[Кот Абсолютный]

Слишком сильное шифрование запрошено. Винда по умолчанию AES128 хочет. Чтобы усилить безопасность, нужно в винде в совйствах IPSec (которые черт знает где закопаны, добраться с трудом) отключить AES128 и включить AES256.

Вот так вот работает:
/ip ipsec proposal
add auth-algorithms=sha256,sha1 enc-algorithms=\
aes-256-cbc,aes-256-ctr,aes-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm \
lifetime=6h name="Roadwarrior proposal" pfs-group=none

Вот так вот может работать, но сначала нужно на каждой винде покрутить свойства IPSec
/ip ipsec proposal
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm lifetime=6h name=\
"Roadwarrior hardened proposal"

Comments

[yourfatherinlaw]

Да, буквально когда вы написали, тоже увидел, что заработало с SHA1. Алгоритмы шифрования не трогал, а вот алгоритм аутентификации... хочется sha256! Я так понимаю, чтоб не править реестр из-за ошибки 13868 тоже самое нужно?...

[Кот Абсолютный]

yourfatherinlaw, Я в регистр не лазил, добрался-таки до панели управления IPSec.

Главная -> Обновления и безопасность -> Безопасность Windows -> Брандмауэр и защита сети -> Дополнительные параметры (прокрутить вниз) -> Свойства брандмауэра защитника Windows -> Параметры IPSec -> Настроить

Постарались на славу, просто так не найти никогда...

[yourfatherinlaw]

CityCat4, офигеть... ну реально... СПАСИБО!!!!

[yourfatherinlaw]

Кот Абсолютный, на самом деле и этого не хватило. не хочет винда это учитывать. Реально помогло задать параметры шифрования для конкретного VPN подключения через Set-VpnConnectionIPsecConfiguration и там всё это выставить

[Кот Абсолютный]

yourfatherinlaw, Вполне может быть. Напрмер указать винде использовать сертификат только от определенного CA у меня получалось тоже только через PS - нигде "гуевые мышевозилы" гуя-то как раз и не сделали...