Windows 7 a 2048 bit IPSec klíč

noob

Windows 7 a 2048 bit IPSec klíč
« kdy: 22. 01. 2020, 13:15:30 »
Zdravím vespolek. Přeinstaloval jsem windows 7 a od té chvíle se nedokážu připojit na VPN. Server (Strongswan / IPSec / IKEv2) používá certifikát s 2048-bit klíčem. Windows podporuje maximálně 1024-bit.

Vím, že se to dá povolit někde v registrech, ale něco dělám špatně.

tohle nabízí Windows klient:

Kód: [Vybrat]
received proposals:
IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_1024,
IKE:3DES_CBC/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024,
IKE:AES_CBC_256/HMAC_SHA2_384_192/PRF_HMAC_SHA2_384/MODP_1024

A tohle podporuje server:

Kód: [Vybrat]
send proposal:
...MODP_3072/MODP_4096/MODP_6144/MODP_8192/MODP_2048

Takto to vypadá v registrech klienta:
Kód: [Vybrat]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\KeyExchangeAlgorithms\Diffie-Hellman]
"ServerMinKeyBitLength"=dword:00000800
"ClientMinKeyBitLength"=dword:00000800
"Enabled"=dword:ffffffff

Nevíte jak přinutit windows aby akceptovaly 2048-bit klíč pro VPN? Respektive jak povolit Diffie-Hellman Group 14.


Re:Windows 7 a 2048 bit IPSec klíč
« Odpověď #1 kdy: 22. 01. 2020, 13:37:24 »
Preco do pekla nepouzijes debilny GOOGLE????

Pravdepodobne tam mas upiratenu verziu s SP1 niekde s roku 2013 lebo od Septembra 2014 Windows 7 PODPORUJE 2048 bitove kluce.
https://support.microsoft.com/en-us/help/2627273/rsa-key-length-is-increased-to-2048-bits-for-ad-rms-in-windows-7-or-in
https://support.microsoft.com/en-us/help/2627272/rsa-key-length-is-increased-to-2048-bits-for-ad-rms-in-windows-server

noob

Re:Windows 7 a 2048 bit IPSec klíč
« Odpověď #2 kdy: 22. 01. 2020, 14:17:07 »
Problém bude jinde. Windows mají všechny dostupné updaty k dnešnímu dni. A při pokusu o instalaci ... Aktualizace KB2843630 už je nainstalována.

noob

Re:Windows 7 a 2048 bit IPSec klíč
« Odpověď #3 kdy: 25. 01. 2020, 20:03:06 »
Kdyby to někdo hledal:

Kód: [Vybrat]
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256

0 (default) disable AES-256-CBC and MODP-2048
1 Enable AES-256-CBC and MODP-2048
2 Enforce the usage of AES-256-CBC and MODP-2048

Tady je kompletní popis: https://wiki.strongswan.org/projects/strongswan/wiki/WindowsClients