我的日志文件:
Jan 16 22:10:46 ip-172-26-4-200 charon: 05[CFG] selecting proposal:
Jan 16 22:10:46 ip-172-26-4-200 charon: 05[CFG] no acceptable ENCRYPTION_ALGORITHM found
Jan 16 22:10:46 ip-172-26-4-200 charon: 05[CFG] received proposals: IKE:AES_CBC_128/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/ECP_256
Jan 16 22:10:46 ip-172-26-4-200 charon: 05[CFG] configured proposals: IKE:AES_GCM_16_128/PRF_HMAC_SHA2_256/ECP_256
Jan 16 22:10:46 ip-172-26-4-200 charon: 05[IKE] local host is behind NAT, sending keep alives
Jan 16 22:10:46 ip-172-26-4-200 charon: 05[IKE] remote host is behind NAT
我应该设置什么设置 VpnConnectionIPsecConfiguration在 Windows10 中如何?我搞不懂。
答案1
客户端建议使用 CBC 模式的 AES 并使用 HMAC-SHA2-256 作为完整性保护,而服务器则配置为 GCM 模式的 AES(AEAD,组合模式,包括加密和完整性保护)。更改任何一个以使连接能够正常工作。
在客户端上,使用VpnConnectionIPsecConfiguration ... -EncryptionMethod GCMAES128 ...使其对 IKEv2 使用 128 位 AES-GCM。
在服务器上,您可以通过添加另一个带有和的 IKE 提案来更改该提案aes128(sha256AEAD 和经典算法必须在单独的提案中,例如aes128gcm16-prfsha256-ecp256, aes128-sha256-ecp256),然后客户端可以自由使用其中一个,或者在现有提案中替换aes128gcm16为。aes128-sha256
您可能遇到与 ESP 提案类似的问题,您可以用类似的方法修复该问题(在 Windows 客户端上,-CipherTransformConstants GCMAES128为 ESP 配置 AES-GCM)。
答案2
问题是 Windows 客户端在重新密钥时使用了不同的提案。这就是为什么当客户端超时(7.6 小时)并重新密钥时,许多客户端会断开连接。我还没有确定那个提案。