我已经使用运行免费 Swan 服务器的 Linux 完成了 Windows 机器身份验证。使用默认配置,我可以看到使用 ESP 加密的 ping。但我还想使用 AH 进行测试。有没有什么方法可以配置 Windows IPSec 以仅使用 AH 而不使用 ESP。
答案1
没有基于 GUI 的选项来实现这一点,但是有一种命令行选项可以实现这一点。 GUI 选项 无法使用防火墙设置中的 IPsec 策略配置选项卡将 Windows 10 配置为仅运行 AH 模式。您最多只能先发送 AH Only 提议,然后发送 ESP/AH+ESP。然后服务器将决定使用其中哪一个。但是,如果有人仍想配置“AH only”,请使用 power shell 脚本进行配置。
Power shell 脚本选项
仅为 AH 创建一个新的快速模式提案,并将其添加到快速规则设置中,如下所示:
$proposal_ah_only = New-NetIPsecQuickModeCryptoProposal -Encapsulation AH -AHHash SHA256 -ESPHash SHA256 -Encryption AES128 -MaxKiloBytes 100000 -MaxMinutes 480
Set-NetIPsecQuickModeCryptoSet -Name "{E5A5D32A-4BCE-4e4d-B07F-4AB1BA7E5FE2}" -NewDisplayName "Quick Mode Crypto Set" -PerfectForwardSecrecyGroup DH2 -Proposal $proposal_ah_only -PolicyStore PersistentStore
您需要在具有管理员权限的 power shell 终端中运行上述命令。
注意:这将仅将 AH 设置为快速模式设置,并且无法使用基于 GUI 的 IPsec 策略选项卡进行编辑。使用此设置,Windows 将仅发送/接受 AH 模式作为有效的 IPsec 协议。