strongSwan-远程接入-eap-mschapv2
发布网友
发布时间:2024-10-06 04:42
共1个回答
热心网友
时间:2024-10-22 16:20
首先,我们构建了一个测试环境,包含R-1路由器和一个模拟移动办公场景的Win10虚拟机。在该环境中,Windows客户端需要通过内置的eap-mschapv2协议连接到strongSwan的网关。
在R-1路由器和Internet路由器上,需要增加相应的配置,以允许Windows客户端发起连接。在Windows客户端的设置中,需要选择网络和Internet,然后配置新的VPN连接,选择Windows内置的提供商,输入strongSwan网关的完全限定主机名和用户名密码,并确保加密级别设置为最高。
然而,在尝试连接时,遇到了问题。服务器拒绝了Windows提出的弱加密算法,这在官方文档中有所提及。解决方法是提升服务器端的安全算法强度。接着,IKE身份验证凭证的问题出现,由于ed25519签名算法不被支持,需要重新生成CA证书并使用RSA算法。
经过多次调整和证书生成,最终成功将eap-dynamic切换为eap-mschapv2,客户端连接成功,但路由设置出现问题。Windows客户端的IPv4高级设置需要手动添加指定地址段的路由,而非默认的10.0.0.0/8路由。官方文档建议通过powershell命令手动添加,以满足特定路由需求。
总结来说,通过一系列配置和问题排查,成功实现了Windows客户端通过eap-mschapv2连接到strongSwan网关,但需要特别注意Windows客户端的路由设置以实现期望的网络访问。
热心网友
时间:2024-10-22 16:14
首先,我们构建了一个测试环境,包含R-1路由器和一个模拟移动办公场景的Win10虚拟机。在该环境中,Windows客户端需要通过内置的eap-mschapv2协议连接到strongSwan的网关。
在R-1路由器和Internet路由器上,需要增加相应的配置,以允许Windows客户端发起连接。在Windows客户端的设置中,需要选择网络和Internet,然后配置新的VPN连接,选择Windows内置的提供商,输入strongSwan网关的完全限定主机名和用户名密码,并确保加密级别设置为最高。
然而,在尝试连接时,遇到了问题。服务器拒绝了Windows提出的弱加密算法,这在官方文档中有所提及。解决方法是提升服务器端的安全算法强度。接着,IKE身份验证凭证的问题出现,由于ed25519签名算法不被支持,需要重新生成CA证书并使用RSA算法。
经过多次调整和证书生成,最终成功将eap-dynamic切换为eap-mschapv2,客户端连接成功,但路由设置出现问题。Windows客户端的IPv4高级设置需要手动添加指定地址段的路由,而非默认的10.0.0.0/8路由。官方文档建议通过powershell命令手动添加,以满足特定路由需求。
总结来说,通过一系列配置和问题排查,成功实现了Windows客户端通过eap-mschapv2连接到strongSwan网关,但需要特别注意Windows客户端的路由设置以实现期望的网络访问。
