Вопрос или проблема
У меня настроен VPN IKEV2 (включая сертификаты), который работал нормально в Windows 7. В Windows 10 та же конфигурация не работает и выдает ошибку ‘IKE authentication credentials are unacceptable’. Сервер – StrongSwan. Последняя строка в логе при попытке подключения:
2016-02-11T12:34:57.457606+00:00 e01pfw01 charon: [info] 05[IKE] assigning virtual IP 10.7.220.6 to peer '**<removed>**'
2016-02-11T12:34:57.461904+00:00 e01pfw01 charon: [info] 05[IKE] CHILD_SA rw-ops{5592} established with SPIs c221e19b_i 29212c9e_o and TS 10.6.75.0/24 10.7.240.0/20 === 10.7.220.6/32
2016-02-11T12:34:57.518381+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 -- 62.23.139.70 == 10.6.75.0/24
2016-02-11T12:34:57.580529+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 -- 62.23.139.70 == 10.7.240.0/20
2016-02-11T12:34:57.581975+00:00 e01pfw01 charon: [info] 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) SA TSi TSr N(AUTH_LFT) ]
2016-02-11T12:34:57.582578+00:00 e01pfw01 charon: [info] 05[NET] sending packet: from 62.23.139.70[4500] to 212.159.106.131[4500] (1412 bytes)
Я не вижу никаких проблем в логе strongswan, на самом деле я даже не вижу ответа на строку t выше (хотя я могу увидеть из pcap, что клиент отправляет ответ), поэтому я хотел бы отладить процесс аутентификации IKE на клиенте Windows 10. Может кто-нибудь подсказать, как это сделать?
Я пробовал netsh set ras tracing * enabled. Лог-файлы создаются, но ничего, относящегося к аутентификации IKE. netsh ipsec dynamic set config property=ikelogging value=1 выдает ошибку ‘Запрос не поддерживается’. Я не смог найти ничего другого.
Мне пришло в голову, что если клиент Windows 10 вызывает сбой в strongswan, то что-то должно появиться в логе, верно?
Для включения логов, по крайней мере в обновлении Creators и выше для Windows, мы добавили новый провайдер трассировки.
Netsh trace start VpnClient per=yes maxsize=0 filemode=single
<Воспроизведите сценарий>
Netsh trace stop
Существует также VpnClient_dbg для дополнительного подробного логирования.
Хорошо – для всех, кто сталкивается с аналогичными проблемами: Журнал событий Windows показал, что подключение не удалось с кодом ошибки 13801. Я нашел это здесь: https://blogs.technet.microsoft.com/rrasblog/2009/08/12/troubleshooting-common-vpn-related-errors/. #4 – ‘Имя VPN-сервера, указанное на клиенте, не совпадает с subjectName сертификата сервера.’. Я пытался подключиться к IP-адресу VPN-сервера. Я переключился на имя хоста, и вуаля.
Мне все равно было бы интересно узнать, как включить полезное логирование на VPN Windows 10…
В Windows 11, чтобы отладить ошибку клиента VPN, я должен был запустить от имени администратора:
logman start gary -ets -p Microsoft-Windows-RRAS -o ikev2.etl ...воспроизвести ошибку подключения VPN... logman stop gary -ets
Затем запустите Средство просмотра событий и перейдите в меню Действие => Открыть сохраненный журнал, выберите сохраненный файл журнала ikev2.etl и проверьте события как обычно (журнал ikev2 появляется в левой панели).
Ответ или решение
Включение трассировки IKE на VPN в Windows 10
Если вы столкнулись с проблемами при подключении к IKEv2 VPN-сети (например, с сообщением об ошибке "IKE authentication credentials are unacceptable"), возможно, вам потребуется включить трассировку для диагностики проблем с аутентификацией. В этой статье мы рассмотрим шаги, которые помогут вам включить необходимую трассировку в Windows 10.
Шаг 1: Использование команды netsh для активации трассировки VPN
-
Запуск командной строки с правами администратора:
- Нажмите клавиши
Win + Xи выберите "Командная строка (администратор)" или "Windows PowerShell (администратор)".
- Нажмите клавиши
-
Включение трассировки VPN:
- Введите следующую команду для начала сборки трассировочных данных:
netsh trace start VpnClient per=yes maxsize=0 filemode=single - Эта команда начнет запись трассировок, связанных с клиентом VPN.
- Введите следующую команду для начала сборки трассировочных данных:
-
Воспользуйтесь VPN:
- Попробуйте установить соединение с вашим VPN-сервером, чтобы воспроизвести проблему.
-
Остановка трассировки:
- После того как проблема воспроизведена, остановите трассировку с помощью команды:
netsh trace stop
- После того как проблема воспроизведена, остановите трассировку с помощью команды:
Шаг 2: Дополнительная трассировка
Для более подробной диагностики также можно включить дополнительное логирование:
-
Включение трассировки RRAS:
- Выполните следующую команду в командной строке с правами администратора:
logman start gary -ets -p Microsoft-Windows-RRAS -o ikev2.etl - Замените
garyна любое имя, которое вы хотите использовать для вашей трассировки.
- Выполните следующую команду в командной строке с правами администратора:
-
Тестирование VPN соединения:
- Попытайтесь снова подключиться к VPN.
-
Остановка логирования:
- После завершения тестирования остановите запись:
logman stop gary -ets
- После завершения тестирования остановите запись:
Шаг 3: Анализ логов
-
Открытие сохраненного лога:
- Запустите "Просмотр событий" (Event Viewer).
- Перейдите в меню "Действие" -> "Открыть сохраненный журнал", выберите файл
ikev2.etl.
-
Поиск информации о проблемах:
- В панели слева найдите и откройте раздел
ikev2и посмотрите на события, чтобы узнать больше о причинах ошибки.
- В панели слева найдите и откройте раздел
Заключение
Эти шаги помогут вам настроить трассировку для диагностики проблем с IKEv2 VPN на Windows 10. Правильное логирование поможет выявить основные проблемы, такие как несовпадение имен серверов в сертификатах или другие проблемы аутентификации. Если вы выполните все указанные действия и по-прежнему не сможете решить проблему, рассмотрите возможность обращения к службе поддержки StrongSwan или используйте форум сообщества для дополнительной помощи.