2020年4月

这是因为Windows 10 连接IKEv2后,默认启用了 splittunneling 选项。我们只要把 splittunneling 关闭即可。
操作如下:

1、使用管理员身份运行PowerShell;

2、输入命令:

get-vpnconnection

Name                  : test_IKEv2
ServerAddress         : vpn.xxx.net
AllUserConnection     : False
Guid                  : {A0E89525-9E64-43DE-8ECC-5E2DFC067C0D}
TunnelType            : Ikev2
AuthenticationMethod  : {MachineCertificate}
EncryptionLevel       : Required
L2tpIPsecAuth         :
UseWinlogonCredential : False
EapConfigXmlStream    :
ConnectionStatus      : Connected
RememberCredential    : True
SplitTunneling        : True
DnsSuffix             :
IdleDisconnectSeconds : 0

然后找到对应那个vpn连接名,比如我这里是"test_IKEv2";

3、然后输入命令:

set-vpnconnection "test_IKEv2" -splittunneling $false

记得把双引号里面的内容自行替换掉,不要照抄。

4、最后再输入:

get-vpnconnection

Name                  : test_IKEv2
ServerAddress         : vpn.xxx.net
AllUserConnection     : False
Guid                  : {A0E89525-9E64-43DE-8ECC-5E2DFC067C0D}
TunnelType            : Ikev2
AuthenticationMethod  : {MachineCertificate}
EncryptionLevel       : Required
L2tpIPsecAuth         :
UseWinlogonCredential : False
EapConfigXmlStream    :
ConnectionStatus      : Connected
RememberCredential    : True
SplitTunneling        : False
DnsSuffix             :
IdleDisconnectSeconds : 0

检查看split tunneling那一项是不是False,不是的话再试一次。像这样就成功了。

上一文讲到 IKEv2的配置,当时使用的是Windows 7作为客户端。然而使用Windows 10作客户端时,拨号时会产生“策略匹配错误”,在事件管理器里面查询,会得到一个13868的错误号。

这是因为Windows客户端提出了一个弱Diffie-Hellman(DH)组(1024位MODP)。除非用户明确配置,否则strongSwan不再使用该组。

解决方法:

在 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters 底下新增:

名称:"NegotiateDH2048_AES256"
类型:"REG_DWORD"
值:"1"

保存退出即可。