IPsec:EAP-MSCHAPv2: WIndows 7のセットアップ

Windows 7でEAP-MSCHAPv2のセットアップでstrongSwanサイトの設定でよかったが認証でエラーが起こったため調べて設定したときのメモです。

CAはあらかじめp12形式に変換したものをWindows 7において置き、管理者権限でmmcを実行しFile>Add/Remove Snap in…からCetificates選択しComputer accountでsnap-inする。Console RootからTrust Root Certification Authorities>Certificatesに移動してp12形式のCAをインポートします。

Nework ConnectionsにつくったVPNアイコンのプロパティのセキュリティタブは下図のように設定しています。

Control PanelからNetwork and Sharing Centerを開き、Set up a new connection or network -> Connect to a workplaceを選択します。そしてUse my Internet connectionを選択します。

次にInternet address:をFQDNで入力します。そしてDon’t connect now; just set it up I can connect laterチェックして、Nextボタン、次にCreateボタンを押してウィンドゥを閉じます。

次にネットワークの設定に戻り、Change adaptor settingsを選択し新しくできたVPNのアイコンのプロパティ画面を開き次のように設定します。

設定が済んだらトレイのネットワークアイコンをクリンクしてVPN接続を行います。

トラブルシュート

次のようなエラーが起きた場合の対処法です。

検索してみたところ次のように設定します。

管理者権限でregeditを開き次のディレクトリに移動します。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters

DWORDを追加しNameDisableIKENameEkuCheckとしValue Data1とします。

Windows 7側のmtuの設定

ipsec属性をipヘッダーに付け加えるためmtuサイズが大きくなり調整する必要があるかも知れません。Windowsの場合は少し設定が煩雑です。ネットワークの一覧表示はDOS画面から次のようにします。

netsh interface ipv4 show subinterface

どのインターフェースをターゲットにするかわかったら次の例のようにします。この例ではmtuは1352に設定します。

netsh interface ipv4 set subinterface "VPN名" mtu=1352 store=persistent

最後にサーバーのゲートウェイのipsec.confの設定を参考に載せておきます。

config setup
 plutostart=no

conn %default
 ikelifetime=60m
 keylife=20m
 rekeymargin=3m
 keyingtries=1
 keyexchange=ikev2

conn common
 left=xxxxxxx.vps.xxxxx.jp
 leftcert=vpnServerCert.pem
 leftsourceip=%config
 leftid=xxxxxxx.vps.xxxxx.jp
 leftauth=pubkey
 leftfirewall=yes

conn vps-client-windows
 leftsubnet=0.0.0.0/0
 right=%any
 rightsourceip=192.168.200.0/24
 rightauth=eap-mschapv2
 eap_indentity=%any
 ike=aes256-sha1-modp1024!
 esp=aes256-sha1!
 dpdaction=clear
 dpddelay=300s
 rekey=no
 leftdns=xx.xx.xx.254
 also=common
 auto=add

References