Kliens oldalról verbose-old meg, kellene hogy írja hogy a kliens mit ajánl. Pf oldalról pedig ipsec/advanced settingsben az IKE loggolásokat billentsd át Diag-ra
Ha esetleg sietős akkor pf oldalról az IPsec Tunnelek:
P1 protocol - P1 Transforms - P1 DH-Group
AES (256 bits) - SHA256 - 14 (2048 bit)
AES256-GCM (128 bits) - SHA256 - 14 (2048 bit)
AES (256 bits) - SHA256 - 2 (1024 bit)
Ez a legtöbb winfos/alma/linux (asszem androidot + szifont is) klienst lefedi, bár klienseken is kellhet kalapálni.
Winfos kliens oldalról a vpn konfig PS-ben (pf CA certtel):
Remove-VpnConnection -Name "ipszekvépéen" -EV Err -EA SilentlyContinue Import-Certificate -FilePath "~/Downloads/****.crt" -CertStoreLocation Cert:\LocalMachine\Root\ Add-VpnConnection -Name "ipszekvépéen" -ServerAddress **gateway wan IP** -TunnelType "Ikev2" -SplitTunneling ### ha kell split tunnel kliensre ### Set-VpnConnection -Name "ipszekvépéen" -SplitTunneling $true Add-VpnConnectionRoute -ConnectionName "ipszekvépéen" -DestinationPrefix **gateway wan IP** Set-VpnConnectionIPsecConfiguration -ConnectionName "ipszekvépéen" -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -DHGroup Group14 -EncryptionMethod AES256 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force