我正在使用 Windows 8 客户端连接到我的新 strongswan VPN,但我没有看到使用 IKEv2 执行预共享密钥的选项?他们忽略了这个功能吗?
答案1
Windows 7 中的 IKEv2 VPN 客户端和 Windows 8 中的客户端都不支持使用预共享密钥进行身份验证。
客户端支持机器证书或者可扩展身份验证协议 (EAP)使用以下方法用户名/密码(EAP-MSCHAPv2), 或者用户证书(EAP-TLS)。
Windows 7 还支持受保护的 EAP (PEAP),它将另一种 EAP 方法(如 EAP-MSCHAPv2)包装在 TLS 隧道中。除此之外,Windows 8 还提供了许多其他 EAP 方法(EAP-TTLS、EAP-AKA、EAP-AKA'、EAP-SIM)。这两个系统还支持第三方 EAP 模块,例如由 Cisco 提供的模块(EAP-FAST、EAP-LEAP、EAP-PEAP)。
大多数这些身份验证方法都有一个共同点,即它们要求使用受信任的证书对服务器进行身份验证。也就是说,您必须在客户端上安装服务器或 CA 证书。strongSwan wiki 提供了有关设置简单的 PKI(确保遵循有关 Windows 客户端的要求)。
答案2
根据这列表中,这是 Strongswan 和 Windows 8 的回归问题。它确实提到了一种潜在的解决方法,但存在安全风险。我个人会提交一个错误,看看开发人员怎么说。