1

VPN-клиент IPSec на базе RAS в Windows, похоже, не соблюдает настройки IPSec по умолчанию в брандмауэре Windows (в котором размещается драйвер IPSec), но настаивает на использовании шифрования 3DES с целостностью SHA1 для обмена ключами (так называемый основной режим IPSec). Оба из них являются устаревшими алгоритмами в настоящее время.

Таким образом, не имеет значения, какое шифрование используется для передачи данных (быстрый режим), который RAS поддерживает до AES-256-CBC, вся ссылка только слабая, как 3DES/SHA1.

С другой стороны, драйвер IPSec в брандмауэре Windows может обрабатывать SHA-384, AES-GCM и ECDH P-384, поэтому есть ли способ настроить VPN-клиент для их использования или просто соблюдать значения по умолчанию, установленные в брандмауэре Windows?

|источник

1 ответ1

2

Похожая проблема с IPSec/IKE. Похоже, что служба RasMan полностью игнорирует политики IPSec, настроенные через брандмауэр Windows. И лучшее, что я смог придумать, - это AES-SHA1-DH2048 через искажение реестра. Я сохранил его как файл .reg, там есть комментарии, поэтому все должно быть довольно ясно.

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2]
"CustomParams"=dword:00000001
"CustomProposalsCount"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\IKEv2\Proposals\0]
; for "Quick Mode", all keys optional
; DES, 3DES, AES_128, AES_256
"esp_encr"="AES_128"
; MD5, SHA1
"esp_auth"="SHA1"
; MD5, SHA1
;"AH"="SHA1"
; NONE, 1, 2, 2048, ECP_256, ECP_384, MM
;"PFS"="MM"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
; for "Main Mode"
; 0 - disable, 1 - enable, 2 - force /// WARNING! "force" disables stronger DH groups!
"NegotiateDH2048_AES256"=dword:00000001
|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .