Я выполнил проверку подлинности Windows-машины с Linux, на котором работает бесплатный сервер Swan. При конфигурации по умолчанию я мог видеть пинг, зашифрованный с помощью ESP. Но я хочу проверить это и с AH. Есть ли способ, которым я могу настроить Windows IPSec для использования только AH, а не ESP.
1 ответ
Для этого не существует опции на основе графического интерфейса, однако есть опция командной строки. Опция графического интерфейса В Windows 10 невозможно настроить запуск только в режиме AH с помощью вкладки конфигурации политики IPsec из настроек брандмауэра. В лучшем случае, вы можете достичь, отправив сначала предложение AH Only, а затем ESP/ AH+ESP. и затем сервер решит, что из этого использовать. Однако, если кто-то все еще хочет настроить "только AH", используйте для этого сценарии Power Shell.
Параметры сценария Power Shell
Создайте новое предложение быстрого режима только для AH и добавьте его в свои настройки быстрого правила следующим образом:
$proposal_ah_only = New-NetIPsecQuickModeCryptoProposal -Encapsulation AH -AHHash SHA256 -ESPHash SHA256 -Encryption AES128 -MaxKiloBytes 100000 -MaxMinutes 480
Set-NetIPsecQuickModeCryptoSet -Name "{E5A5D32A-4BCE-4e4d-B07F-4AB1BA7E5FE2}" -NewDisplayName "Quick Mode Crypto Set" -PerfectForwardSecrecyGroup DH2 -Proposal $proposal_ah_only -PolicyStore PersistentStore
Вы должны выполнить указанные выше команды в терминале Power Shell с правами администратора.
Примечание: это установит AH только потому, что ваши настройки быстрого режима не могут быть изменены с помощью вкладки политики IPsec на основе графического интерфейса. С этими настройками Windows будет отправлять / принимать только режим AH в качестве действующего протокола IPsec.