我正在尝试使用带有预共享密钥和 xAuth 的 L2TP/IPsec 通道从 Windows 10 内置 VPN 客户端设置到 Cisco asa 5505 的远程 VPN IPsec ikev1。经过一番努力,我设法完成了 IPsec 第 1 阶段和第 2 阶段。但尝试连接时,Windows 端仍然出现此错误:
远程连接被拒绝,因为您提供的用户名和密码组合无法识别,或者远程访问服务器不允许使用所选的身份验证协议”。
在 Windows 端,我在“允许的协议”下选中了 Chap 和 MS-Chap v2。在 Cisco ASA 上,我在 DefaultRAGroup 上允许了 MS-Chap v2,而 Cisco VPN 调试器也没有显示任何有关此问题的特定错误。
将要 邮政如果需要的话,我可以删除我运行配置的部分,但我感觉问题出在 Windows 方面。
有人成功完成了我在这里尝试的操作吗?或者有人知道一些我不知道的有关 Windows 内置 VPN 客户端身份验证方法的详细信息?
编辑
添加了一些 VPN 调试消息的屏幕截图。请注意蓝色的“第 2 阶段完成”消息,然后客户端发送终止消息。还请注意“用户的安全协商已完成()。其中应该有一个用户说明。
答案1
当 AAA 服务器和 PPP 组合错误时,通常会出现这种情况。仅支持以下组合:
LOCAL : PAP, MSCHAPv1, MSCHAPv2
RADIUS : PAP, CHAP, MSCHAPv1, MSCHAPv2, EAP-Proxy
TACACS+ : PAP, CHAP, MSCHAPv1
LDAP : PAP
NT : PAP
Kerberos : PAP
看此引用。您必须在连接配置文件 (高级->PPP) 中进行适当的选择。
答案2
如果您使用本地身份验证和 MS-CHAP,则需要使用 unicode 和 MD4 对密码哈希进行编码。您可以通过附加 msschap(或在某些版本中为 nt-encrypted)关键字来实现,如下所示:
username test password cisco mschap
username test2 password cisco2 nt-encrypted
然后您将能够成功验证。