Не удается подключиться к L2TP IPsec VPN из Windows 10, но он работает с macOS High Sierra

Question

Я пытаюсь подключиться с клиента Windows 10 к Ubiquiti EdgeRouter VPN, я прошел инструкции на https://help.ubnt.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VPN- Сервер, но всякий раз, когда я пытаюсь подключиться к VPN, я получаю следующее:

Не удалось подключиться. Попытка подключения через L2TP не удалась, поскольку уровень безопасности не смог согласовать совместимые параметры с удаленным компьютером.

Я провел некоторое исследование и изменил свойства безопасности VPN, чтобы разрешить Microsoft CHAP версии 2 (MS-CHAP v2), а также протокол проверки подлинности при вызове (CHAP), но, похоже, это ничего не изменило.

В то же время у меня нет проблем с подключением клиента MacOS High Sierra. Так что я думаю, что на стороне клиента что-то не так (настройки Windows VPN)? Кто-нибудь может мне помочь с этим?

Answer 1

Это сообщение об ошибке, вероятно, означает, что существует некоторый уровень связи между Windows и Ubiquiti, но им не удалось найти общий метод шифрования. Для фазы 1 (обмен ключами) Windows (версия 1803) предлагает следующие методы шифрования (в этом порядке приоритета):

1. SHA1 + AES-CBC-256 + ECP384
2. SHA1 + AES-CBC-128 + ECP256
3. SHA1 + AES-CBC-256 + MODP2048
4. SHA1 + 3DES-CBC + MODP2048
5. SHA1 + 3DES-CBC + MODP1024

Для фазы 2:

1. SHA1 + AES-CBC-256
2. SHA1 + AES-CBC-128

Удостоверьтесь, что Ubiquiti может принять одно из этих предложений, поэтому попытайтесь установить предложения фазы 1 и phase 2 для Ubiquiti примерно так.

set vpn ipsec ike-group FOO0 lifetime 86400
set vpn ipsec ike-group FOO0 proposal 1 dh-group 14
set vpn ipsec ike-group FOO0 proposal 1 encryption aes256
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec esp-group FOO0 lifetime 43200
set vpn ipsec esp-group FOO0 pfs disable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1

Я бы тоже включил NAT-Traversal:

set vpn ipsec nat-traversal enable

Я действительно не знаю Ubiquiti, но, возможно, это помогает.

Answer 2

ИМХО это ошибка в Windows 10 встроенного VPN-клиента. У меня два практически идентичных VPN-сервера, на которых работает SoftEther. С подключением VPN к первому проблем не было, так как я помню (с использованием SSTP). Второе VPN-подключение на том же ПК с Windows к VPN-серверу, практически идентично настроенному и размещенному у того же поставщика в той же сети - при подключении через SSTP я мог прочитать из журнала сервера, что клиент Windows не принял или не предложил MSCHAP v2 для аутентификации. Ничто не могло решить проблему, пока однажды я не попытался изменить клиент Windows для использования L2TP/IPSec с PSK. Это связано мгновенно. Затем я просто изменил конфигурацию в Windows обратно на SSTP, и с тех пор она работает как бриз.

Answer 3

Та же проблема здесь, но с Cisco Meraki. Работал нормально, пока мой ноутбук не обновился до версии 1803. Могу поспорить, у вас такая же сборка. Это было недавно вытеснено. Кажется, не имеет значения, что вы делаете - теперь что-то не так с L2TP.

Если вы все еще в сборке 1709, то вам нужно добавить правило брандмауэра, чтобы разрешить входы и выходы портов 500, 1701, 4500 UDP/TCP.

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd458955(v=ws.10)