Windows-Client kann keine Verbindung zu StrongSwan herstellen: "EAP-Identity-Anforderung konfiguriert, aber nicht unterstützt"

667
dddddddd207

Ich habe dieses Tutorial befolgt, um einen StrongSwan-VPN-Server einzurichten, mit den Ausnahmen, dass ich Debian 9 verwendete und dass ich Zertifikate verwendete, die ich bereits von Let's Encrypt hatte, anstatt eine Zertifizierungsstelle aufzustehen. Ich kann jedoch immer noch keine Verbindung zum VPN-Server herstellen. Wenn ich versuche, den integrierten Windows 10-VPN-Client zu verwenden, wird ein Fehler angezeigt

Die Netzwerkverbindung zwischen Ihrem Computer konnte nicht hergestellt werden, da der Remote-Server nicht antwortet. Dies kann daran liegen, dass eines der Netzwerkgeräte (z. B. Firewalls, NAT, Router usw.) zwischen Ihrem Computer und dem Remote-Server nicht so konfiguriert ist, dass VPN-Verbindungen zugelassen werden. Wenden Sie sich an Ihren Administrator oder Ihren Dienstanbieter, um herauszufinden, welche Geräte möglicherweise das Problem verursachen.

Ich habe versucht, meinen Computer ohne zwischengeschaltetes Gerät direkt an den Server anzuschließen. Ich konnte einen Ping-Vorgang durchführen, konnte jedoch keine Verbindung zum vpn herstellen. Außerdem ufwwird festgelegt, dass die erforderlichen Ports 500 und 4500 zulässig sind, und es wurde nmap -sU -p 500 [VPN server IP]bestätigt, dass die Ports für UDP-Pakete geöffnet waren.

Bei der Einstellung der Protokollierungsstufe auf Maximum stellte ich keine Fehler oder Warnungen fest, außer in einigen Zeilen

Aug 13 17:28:16 vpn ipsec [2733]: 14 [IKE] EAP-Identity-Anforderung konfiguriert, jedoch nicht unterstützt Aug 13 17:28:16 vpn ipsec [2733]: 14 [IKE] Laden der EAP_MSCHAPV2-Methode fehlgeschlagen

Ich kann nicht herausfinden, was sonst das Problem sein könnte, also denke ich, dass es sich auf diese Zeilen beziehen muss. Was kann ich dagegen tun?

2
Entsprechend diesem: https://lists.strongswan.org/pipermail/users/2011-February/001390.html sollten Sie die Ausgabe von `ipsec statusall` auschecken und nach dem` eap-mschapv2`-Plugin suchen. Außerdem bin ich nicht sicher, ob ein Let's-Verschlüsselungszertifikat für Windows als IPSec-Serverzertifikat zulässig ist, da ihm die Erweiterung "IKE-Intermediate" für erweiterte Schlüsselverwendung fehlt. bcs78 vor 5 Jahren 0

3 Antworten auf die Frage

1
dddddddd207

Anscheinend enthält das Debian-Paket nicht die erforderlichen Plugins für den Windows 10-Client. Ich musste das Paket deinstallieren, StrongSwan selbst herunterladen und kompilieren. Bei der Deinstallation des Pakets blieben einige Dateien zurück. Ich musste entfernen /usr/lib/ipsec/und neu kompilieren, da bei der neuen Installation auf die Dateien der alten Installation zugegriffen wurde, die sich dort befanden. Die anderen Dateien, die zurückgelassen wurden (insbesondere in / etc), scheinen jedoch zu funktionieren oder verursachen zumindest keine Probleme.

Beim Kompilieren von StrongSwan habe ich den Befehl verwendet ./configure --prefix=/usr --sysconfdir=/etc --enable-eap-identity --enable-eap-mschapv2 --enable-md4

Zusätzlich zu nach diesem Windows versucht, die 1024 Bit Diffie-Hellman - Gruppe standardmäßig zu verwenden, und Sie können entweder bekommen StrongSwan die 1024-Bit - DH - Gruppe anbieten zu können, oder Sie können einen Registrierungsschlüssel auf Windows festgelegt, um es das zu machen akzeptieren 2048 DH-Gruppe. Ich konnte keine Dokumentation für die erstere finden, also ging ich stattdessen mit der letzteren.

Schließlich funktionierte das Let's Encrypt-Zertifikat. Platzieren Sie dazu Ihr aktives cert.pem /etc/ipsec.d/certs/und Ihr aktives chain.pem /etc/ipsec.d/cacerts/.

1
grawity

EAP-Identity-Unterstützung wird vom eap-identityPlugin bereitgestellt . Für EAP-MSCHAPv2 benötigen Sie das eap-mschapv2Plugin.

Unter Debian werden beide vom libcharon-extra-pluginsPaket bereitgestellt.

$ apt-file search eap-identity libcharon-extra-plugins: /usr/lib/ipsec/plugins/libstrongswan-eap-identity.so
0
Davor Josipovic

Aug 13 17:28:16 vpn ipsec [2733]: 14 [IKE] EAP-Identity-Anforderung konfiguriert, jedoch nicht unterstützt Aug 13 17:28:16 vpn ipsec [2733]: 14 [IKE] Laden der EAP_MSCHAPV2-Methode fehlgeschlagen

Die erste Zeile ist auf ein fehlendes eap-identityPlugin zurückzuführen, das von der Schwerkraft beantwortet wurde . Die zweite Zeile ist auf das fehlende ´eap-mschapv2-Plugin zurückzuführen. Dieses Plugin benötigt ein gcryptPlugin, um zu funktionieren. Letzteres ist in zu finden libstrongswan-extra-plugins.

Sie müssen also:

apt install libcharon-extra-plugins libstrongswan-extra-plugins

Verwandte Probleme