ikev2 параметр задан неверно windows 10
Ikev2 параметр задан неверно windows 10
IKEv2 на сегодняшний день считается самым безопасным протоколом подключения к VPN.
Чтобы не испытывать трудностей в настройках, мы настоятельно рекомендуем использовать наше собственное VPN приложение для Windows.
Если вы выбрали в качестве подключения IKEv2 протокол и не знаете как настроить, следуйте дальнейшим инструкциям ниже.
Подключение через протокол IKEv2 посредством системы Windows 10
Откройте Пуск > Сетевые подключения и выберите раздел VPN нажмите добавить VPN-Подключение и введите данные:
Далее нажимаем сохранить и переходим к следующим действиям.
Ниже, находим заголовок Сопутствующие параметры и выбираем Настройка параметров адаптера,
После того как у вас появится ваше созданное подключение, нажмите на него правой кнопкой и выберите Свойства > Сеть > IP версии 4 (TCP/IP)
Далее, когда вы зашли в раздел IP версии 4 (TCP/IP) выбираем Дополнительно и ставим галочку напротив фразы Использовать основной в шлюз в удаленной сети и нажимаем OK.
Переходим опять в Пуск > Сетевые настройки и нажимаем Подключиться к созданному VPN соединению.
После подключения, перейдите в браузер и проверьте смену IP. Если IP-адрес изменился,
значит вы все сделали правильно и VPN корректно работает.
Если вы не смогли самостоятельно подключиться или возникли трудности, напишите нам.
Ответы на самые частые вопросы пользователей > Подключение через IKEv2 для пользователей услуги VPN.
Strongswan IKEv2 vpn на клиенте Windows 10 «ошибка соответствия политики»
На моем сервере ubuntu установлена новейшая версия Strongswan vpn. Я выполнил это руководство и заставил его работать на моем Android и Iphone.
Теперь Я хочу, чтобы он работал на моем ноутбуке с Windows 10, но когда я пытаюсь подключиться через настройки vpn в Windows, я получаю только «ошибку соответствия политики», а в окне просмотра событий отображается код ошибки «13868».
После долгих поисков в Google я все еще не могу найти рабочего решения.
проблема, скорее всего, в том, что клиент Windows предлагает слабую группу Диффи-Хеллмана (DH) (1024-битный MODP). Эта группа больше не используется strongSwan, если пользователь не настроит ее явно.
У вас есть два варианта:
Вариант 1 определенно предпочтительнее.
/etc/strongswan.d/charon-logging.conf
Вы можете использовать его и проанализировать файл журнала, чтобы обнаружить проблему. Если вы не можете в этом разобраться, опубликуйте журнал подключений здесь, я постараюсь вам помочь.
Чтобы выяснить, в чем проблема вам следует в качестве первого шага включить ведение журнала и посмотреть, что происходит в процессе подключения. Вот пример конфигурации, которую я использую на своем сервере.
/etc/strongswan.d/charon-logging.conf
Вы можете использовать его и проанализировать файл журнала, чтобы обнаружить проблему. Если у вас не получится разобраться, опубликуйте здесь лог подключения, я постараюсь вам помочь.
A problem of Windows 10 VPN (Ikev2) connection
I tried to use ikev2 VPN on my windows 10 laptop, and connected successfully (at least it showed «connected»). However, when I checked my IP on google, it suggested that it didn’t connect me to the VPN server at all. And other methods also proved that my laptop didn’t get access to the Internet via ikev2 VPN.
So are there anyone who also meet the same problem? Is it a bug on windows 10, or just something I do is wrong?
Report abuse
Replies (5)
Hi, I’ve been having the same issue with P.I.A. Worked fine before windows 10 upgrade now not so much now.
I check my Ip address and sometimes it comes up my own IP and sometimes it comes up to my private IP.
Report abuse
Was this reply helpful?
Sorry this didn’t help.
Great! Thanks for your feedback.
How satisfied are you with this reply?
Thanks for your feedback, it helps us improve the site.
How satisfied are you with this reply?
Thanks for your feedback.
I agree that something changed in Windows 10 here. I’ve been looking into this and it appears that Windows 10 isn’t configuring the routing correctly or forcing split tunneling (but only using the client IP range as the source for the split tunneling). For example, if I connect to my ikev2 vpn server, all my traffic is routed over my NIC, except when I try to use an IP in the virtual IP range of the client. And since only the virtual IP range gets routed over to the VPN server, the VPN is pretty much useless.
Has anyone heard of functionality changes in the ikev2 VPN implementation?
Report abuse
1 person found this reply helpful
Was this reply helpful?
Sorry this didn’t help.
Great! Thanks for your feedback.
How satisfied are you with this reply?
Thanks for your feedback, it helps us improve the site.
How satisfied are you with this reply?
Thanks for your feedback.
I have the same problem. When I told my VPN provider this issue, he just said there’s something wrong about my system and suggested reinstalling Windows 10. I only use OpenVPN now. Hope someone could fix this bug or point out what’s wrong.
Report abuse
1 person found this reply helpful
Was this reply helpful?
Sorry this didn’t help.
Great! Thanks for your feedback.
How satisfied are you with this reply?
Thanks for your feedback, it helps us improve the site.
How satisfied are you with this reply?
Thanks for your feedback.
I upgrade my windows phone to windows 10 today. The problem still remains! Maybe it is time to turn to Android or IPhone.
By the way, here is the solution to the problems on PC:
Report abuse
Was this reply helpful?
Sorry this didn’t help.
Great! Thanks for your feedback.
How satisfied are you with this reply?
Thanks for your feedback, it helps us improve the site.
How satisfied are you with this reply?
Thanks for your feedback.
I know this thread is old, but hopefully some info here can help those us bewildered by this new behavior in Windows 10 (desktop and mobile).
Again, more details are in my reply in the link above. Hope this helps.
В чем проблема с подключением к ipsec+ikev2 через сертификаты?
Смотрю wireshark’ом на клиенте и tcpdump’ом на сервере.
Проходит так:
клиент запрашивает у сервера ikev_init
сервер отвечает
клиент отправляет свой сертификат и поддерживаемые шифры
сервер их получает и отправляет ответ
клиент не получает этот ответ! (в некоторых сетях тот же самый клиент получает его и тогда подключение к VPN проходит успешно)
Сервер отправляет пакет, но на клиент он не доходит:
На клиенте wireshark’ом этого пакета нет, остальные есть:
В чем может быть проблема?
Такое в некоторых сетях(2ком, некоторые от мгтс). В некоторых сетях от мгтс данный волшебный пакетик доходит и тогда к VPN подключается успешно.
И похожих статей/гайдов еще много. Везде strongswan и без L2TP.
athacker: к сожалению, я не очень прошаренный в таких вещах, так что очень бы помогла wiki/guide.
Правильно ли я понял:
Нужно поднять l2tp туннель с помощью чего-угодно(что порекомендуете?)
уже внутри этого туннеля поднимать шифрование(тогда тут не понимаю, как заставить strongswan, например, влезать в этот туннель?)
IPSec определяет, какой трафик шифровать, на основе policy. Полиси включает в себя набор IP-адресов и/или подсетей и список портов. То есть, в полиси можно указать: «трафик между такой-то и такой-то подсетью необходимо шифровать». И тогда туннель будет строиться на L2TP, а внутри него трафик уже будет шифроваться IPSec’ом.
В стронгсване это делается так:
conn hm
left=192.168.3.1
leftsubnet=192.168.4.17/32
right=192.168.17.50
rightsubnet=192.168.1.0/28
type=tunnel
auto=start
Недавно был вынужден временно переключиться на злополучный МГТС*, и тоже столкнулся со схожей проблемой. IKEv2 RSA не работает на Windows, в то время как L2TP+IPsec (IKEv1 PSK) спокойно заводилось. При этом на iOS 11.1 beta 5 IKEv2 RSA также спокойно заводилось.
После проверки через WireShark выяснилось, что пакеты в сети МГТСа фрагментируются (забегая вперёд скажу сразу, что принудительное понижение MTU на клиентском интерфейсе ни к чему не привело).
(естественно это было бы невозможно выявить при использовании жёсткого фильтра на порты UDP 500 и 4500, как это было показано на скриншоте в изначальном вопросе)
И с этим вроде бы должна справляться опция fragmentation = yes на стороне strongSwan, однако Windows 10, по всей видимости, так и не научилась работать с фрагментированными пакетами в IKEv2:
Windows clients support IKEv1 fragmentation, but not IKEv2 fragmentation.
* — после подключения белого IP-адреса (МГТС по умолчанию всех прячет за NAT) указанная проблема исчезла.
Настройка IKEv2 VPN соединения в Windows 10
Выберите Параметры сети и Интернет.
На вкладке VPN нажмите Добавить VPN-подключение.
В разделе Подписки посмотрите IP адреса IKEv2 VPN серверов, Логин и Пароль VPN.
Откройте настройки параметров адаптера.
Откройте свойства IKEv2 VPN-подключения.
Откройте свойства протокола TCP/IPv4.
Перейдите на вкладку дополнительных параметров и установите галку «Использовать основной шлюз в удаленной сети».
Сохраните параметры и подключитесь к IKEv2 VPN.