我有一个 IKEV2 VPN 设置(包括证书),在 Windows 7 上运行良好。在 Windows 10 上,相同的配置失败,并显示“IKE 身份验证凭据不可接受”。服务器是 StrongSwan。连接尝试日志中的最后一行是:
2016-02-11T12:34:57.457606+00:00 e01pfw01 charon: [info] 05[IKE] assigning virtual IP 10.7.220.6 to peer '**<removed>**'
2016-02-11T12:34:57.461904+00:00 e01pfw01 charon: [info] 05[IKE] CHILD_SA rw-ops{5592} established with SPIs c221e19b_i 29212c9e_o and TS 10.6.75.0/24 10.7.240.0/20 === 10.7.220.6/32
2016-02-11T12:34:57.518381+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 -- 62.23.139.70 == 10.6.75.0/24
2016-02-11T12:34:57.580529+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 -- 62.23.139.70 == 10.7.240.0/20
2016-02-11T12:34:57.581975+00:00 e01pfw01 charon: [info] 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) SA TSi TSr N(AUTH_LFT) ]
2016-02-11T12:34:57.582578+00:00 e01pfw01 charon: [info] 05[NET] sending packet: from 62.23.139.70[4500] to 212.159.106.131[4500] (1412 bytes)
我在 strongswan 日志中看不到任何问题,事实上我甚至没有看到对上面 t 行的响应(即使我可以从 pcap 中看到客户端发送了响应),所以我想在 Windows 10 客户端上调试 IKE 身份验证过程。有人能告诉我这是怎么做的吗?
我试过了netsh set ras tracing * enabled。日志文件已创建,但与 IKE 身份验证无关。netsh ipsec dynamic set config property=ikelogging value=1失败并显示“不支持该请求”。我还没能发现其他任何东西。
我突然想到,如果 Windows 10 客户端导致 Strongswan 崩溃,但日志中会出现一些内容,对吗?
答案1
为了至少在 Windows 的 Creators 更新及以上版本中启用日志,我们添加了一个新的跟踪提供程序。
Netsh trace start VpnClient per=yes maxsize=0 filemode=single
<Repro the scenario>
Netsh trace stop
还有 VpnClient_dbg 用于额外的详细日志记录
答案2
好的 - 对于遇到类似问题的人:Windows 事件日志显示连接失败,错误代码为 13801。我在这里查了一下:https://blogs.technet.microsoft.com/rrasblog/2009/08/12/troubleshooting-common-vpn-related-errors/。#4 是“客户端给出的 VPN 服务器名称与服务器证书的 subjectName 不匹配。”。我试图连接到 VPN 服务器的 IP 地址。我切换到主机名,然后就好了。
我仍然有兴趣知道如何在 Windows 10 VPN 上启用有用的日志记录......