Nuestro grupo de redactores ha pasado horas buscando la solución a tu interrogante, te ofrecemos la solución así que esperamos resultarte de gran ayuda.
Solución:
Lo más probable es que el problema sea que el cliente de Windows proponga un grupo Diffie-Hellman (DH) débil (MOP de 1024 bits). strongSwan ya no usa ese grupo a menos que el usuario lo configure explícitamente.
Tienes dos opciones:
- Configure Windows para usar un grupo DH más fuerte. Esto se puede hacer
- a través del cmdlet Set-VpnConnectionIPsecConfiguration PowerShell, que permite habilitar grupos DH más fuertes (por ejemplo, grupo MODP de 14/2048 bits o ECP de 384 bits) e incluso otros algoritmos (por ejemplo, cifrado/integridad de modo combinado AES-GCM, que es más eficiente, pero también debe habilitarse explícitamente en el servidor)
- o a través del registro agregando el DWORD key
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParametersNegotiateDH2048_AES256
. Configúralo en1
para habilitar (los otros algoritmos todavía se proponen), o2
para hacer cumplir el uso de AES-CBC de 256 bits y MODP DH de 2048 bits (solo se propondrán estos).
- Agregue el grupo DH débil propuesto (MOP de 1024 bits) a la propuesta IKE en el servidor (por ejemplo, configure algo como
ike=aes256-aes128-sha256-sha1-modp3072-modp2048-modp1024
que lo agrega al final para que otros clientes puedan usar grupos DH más fuertes).
Definitivamente se prefiere la opción 1.
Nos puedes sostener nuestra tarea escribiendo un comentario y valorándolo te damos la bienvenida.
¡Haz clic para puntuar esta entrada!
(Votos: 0 Promedio: 0)