如何解决Windows 10中的IKEv2 EAP认证问题

没有必要在Windows 10安装第三方虚拟专用网络(VPN)客户作为操作系统已经支持IKEv2协议一样开放标准的VPN解决方案。然而,在Windows 10中的设置应用程序的错误,难以登录和访问远程VPN服务。这里是你如何工作的破碎设置应用程序和设置安全和工作IKEv2的VPN配置文件。

越来越多的通用VPN服务提供商正在增加的IPsec / IKEv2协议,以他们支持的协议列表。该协议是一个开放的标准,它的iOS中,MACOS,和Windows本地支持,并具有部分(非EAP认证唯一)在支持Android。

IKEv2支持多种形式的身份验证,而不需要安装根证书的可疑做法由VPN服务提供商提供。可扩展认证协议(EAP;具体地说EAP-MSCHAPv2)允许客户与他们的帐户 - 或特定于设备的用户名和密码来认证VPN供应商颁发的证书,而不是。

“添加VPN连接”对话框在Windows 10

必须再次点击“添加VPN连接”对话框中的保存按钮来关闭对话框,这是一个确定的迹象,说明事情没有像预期的那样工作。

Windows 10确实支持使用EAP身份验证,但这种通过设置应用程序创建VPN配置文件的能力至少在Windows 10 1607版本(“周年更新”)之后就不工作了。

您可以在Add VPN connection对话框中填写身份验证信息,以创建新的VPN配置文件。但是,当您单击Save按钮时,它不会被保存。第二次单击Save将关闭对话框,但不保存任何身份验证信息或帐户凭据。身份验证信息无法从设置应用程序中更正。

创建使用PowerShell工作的IKEv2 VPN配置文件

直到微软决定将固定设置应用程序,您仍然可以通过PowerShell中添加一个工作IKEv2的VPN配置文件。你甚至不需要成为管理员用户添加它。需要注意的是PowerShell的或添加VPN配置文件的能力可能已经通过组策略设置将其禁用。

安装说明非常简单:

  1. 调整- name参数,然后设置servername到VPN服务器地址,你已经被你的VPN服务供应商提供。
  2. 从Windows开始菜单打开PowerShell。
  3. 将命令复制粘贴到PowerShell中,然后按下输入执行它。
附加VpnConnection`-Name“示例VPN(丹麦)" ' -服务器地址"dk.vpn.example.net-RememberCredential -TunnelType "Ikev2"加密级别

可以选择删除包含的整行代码-RememberPassword参数,如果您不想在Windows中保存您的VPN用户名和密码。如果您删除此选项,您将被要求在每次连接到VPN时重新输入您的凭证。

最后,您应该登录和(可选保存)VPN验证,以确保连接是否正常工作。

  1. 打开设置应用程序,转到网络和互联网:VPN,然后选择刚刚创建的新VPN配置文件。
  2. 单击Connect,并在提示时输入您的VPN用户名和密码。

您也可以通过任务栏中的网络状态图标进行连接。在我的经验中,这可能有一点问题,有时会在您第一次连接VPN时忘记您的VPN证书。然而,设置应用程序似乎在这方面做得不错。(Windows 10有一些严重的软件质量问题... .)

您应该始终进行测试,以验证您的VPN连接是否对所有网络通信进行加密。

封堵DNS漏洞

虽然IKEv2协议允许客户端自动配置,通过VPN将所有DNS请求路由到特定的DNS服务器,……你不知道这是否正在发生。Windows中没有检查这个的指示器,你必须手动检查网络流量来测试它。

您应该手动设置DNS配置,以减少域查询泄漏到VPN连接之外的风险。

不幸的是,用于配置它的PowerShell cmdlet完全被破坏了,也无法从设置应用程序中配置它。(说真的——Windows 10的bug到底是怎么回事?)您必须进入传统的控制面板,从那里设置您的VPN配置文件的DNS配置。

  1. 打开控制面板,转到网络和Internet:网络连接
  2. 选择您的VPN连接,右键单击,然后选择Properties。
  3. 切换到Networking选项卡,并选择IPv4。
  4. 点击使用以下DNS服yabo亚博体育下载务器地址,并输入您从VPN提供商提供的IPv4地址,或输入9.9.9.9
  5. 单击OK,并重复步骤3 - 5 IPv6,但输入2620:铁:铁

上面使用的DNS服务器地址属于Quad9,一个安全性和隐私增强的免费使用的公共DNS服务提供商。您可以在这里配置任何DNS服务提供者除了适用于你的本地路由器或你的互联网服务供应商(ISP)提供的路由器。

这并不能保证阻止DNS泄漏,但它确实降低了DNS请求泄漏的风险。你可以通过投资一个专用的VPN网关路由器来显著降低风险Vilfo),并通过该设备连接您的计算机和设备独占。