我设法通过以下方式连接了不同区域的两个 AWS 子网:强天鹅VPNike2与使用aes256加密。因此,主 CA 密钥已创建,自签名 CA 证书以及两个网关的私钥和公钥。之后我为roadwarrior创建了证书,并以格式导出到win10客户端p12。
这两个 LAN 之间的连接正常,但我无法连接 roadwarrior 客户端。
我将证书导入到win10中,并且在证书管理器中通常可以看到这些证书。
然后我使用 Windows10 VPN 客户端创建 VPN 配置,当我运行它时,我从 Windows 消息中得到:
A certificate could not be found that can be used with this Extensible Authentication Protocol。
办理登机手续certmagr一切都就位了。
使用的认证方法是EAP-tls并且它在 LAN 到 LAN 模型中工作没有问题。
Win10 VPN安全属性设置为:
Type of the VPN: IKE2 ,
Data Encryption: Require encryption (disconnect if server declines)
Authentication: Use Extensible Authentication Protocol
-> Microsoft smart card or other certificates (encryption enabled)
-> Properties
---> Use certificate on this computer
---> Verify the server's identity by validating the certificate
---> Trusted Root Certificate authority
----> Both certificates CA and the client p12 certificate are visible
and checked
这是ipsec配置文件文件
config setup
charondebug="cfg 2, dmn 2, ike 2,net 2"
uniqueids=yes
strictcrlpolicy=no
conn %default
fragmentation=force
forceencaps=yes
rekeymargin=3m
mobike=no
keyingtries=%forever
ike=aes256-sha256-modp2048,aes256-sha2_256-modp1024!
esp=aes256-sh256,aes256-sha2_256!
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
authby=pubkey
leftcert=vpn-west-public-certificate.pem
leftsendcert=always
keyexchange=ikev2
type=tunnel
leftca="C=DE, O=Orgname, CN=Orgname Root CA"
leftid=13.57.xx.yy
left=10.0.0.208
leftsubnet=10.0.0.0/16
conn roadw
right=%any
rightid=%any
rightauth=eap-tls
rightsourceip=10.0.0.64/28
rightsendcert=never
rightdns=8.8.8.8
eap_identity=%identity
auto=add
这里是IPsec 秘密文件
13.57.xx.yy : RSA "/etc/ipsec.d/private/vpn-west-private-key.pem"
username : EAP "passphrase"
不知道从哪里开始,看起来 windows10 甚至没有启动会话,因此在我看来,Win10 上的 VPN 客户端配置有问题。