在 windows10 和 SUSE Sles 12 之間配置 IKE/Ipsec 連接時出錯

Question

我是 Ipsec/Ikev2 概念的新手。 我正在嘗試使用 strong swan 在 Windows 10 和 SUSE SELES 12 盒之間創建 Ipsec/IKEv2 連接。

現在我沒有 SUSE box 的 ipsec 配置信息。 但我可以告訴你我的觀察和問題：

注意：我沒有在 ipsec.conf 文件中提供 IKE 和 ESP 值，我使用 PSK 進行身份驗證。

• 當我在 SUSE 機器的 ipsec.conf 中保留 keyexchange = ike 的值時。 SUSE 不斷向 Windows 發送數據包但沒有收到響應。

• 我將值更改為 keyexchange = IKEv1，現在 SUSE 正在向 Windows 設備發送數據包並得到響應。 但得到如下錯誤：

  2020-10-15T13:25:09.153507+03:00 ct99 charon: 13[NET] 發送數據包：從 3.213.176.114[500] 到 3.213.176.129[500]（172 字節：6133.135-205）2015 +03:00 ct99 charon: 14[NET] 收到的數據包：從 3.213.176.129[500] 到 3.213.176.114[500]（56 字節）2020-10-15T13:25:09.153800[500] 2020-10-15T13:25:09.153800[500]+0194 ENC] 解析 INFORMATIONAL_V1 請求 2363509334 [ N(NO_PROP) ] 2020-10-15T13:25:09.153977+03:00 ct99 charon: 14[IKE] 收到NO_PROPOSAL_CHOSEN錯誤通知

• Windows 10 配置信息：

  MainMode CryptoSet 信息：

  提議：{0：加密：AES128：哈希：SHA1：KeyExchange：DH14}

  QuickModeCryptoSet：

  提議：{0：封裝：ESP：EspHash：SHA1：加密：AES128：MaxLifetimeKilobytes：100000：MaxLifetimeMinutes：60}

您能否幫助我理解為什么我必須設置 keyexchange = IKEV1 的值，因為它應該可以工作，即使根據我的理解將值設置為 IKE。

對於日志中的另一個錯誤。 我試圖為 ike 和 esp 設置多個可能的值，但它仍然沒有拋出相同的錯誤。 請幫我解決這個問題。

非常感謝你！

Answer 1

就我而言，錯誤 NO_PROPOSAL_CHOSEN 是由 Windows 10 默認提出的弱密碼引起的。 自 Strongswan 5.6 版以來，Strongswan 中默認不啟用弱密碼。

可以使用包含以下內容的 regfile 通過注冊表在 Windows 10 中啟用更強大的密碼：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"NegotiateDH2048_AES256"=dword:00000001