IKEv2 VPN Windows 10 kliens, kliens tanúsítvány kiválasztása

Sziasztok!

Van olyan Windows 10 operációs rendszerrel ellátott ámítógépem, amivel két különböző IKEv2/IPSEC VPN szerverhez kellene csatlakoznom. A hitelesítés tanúsítvánnyal történik. Mindkét szerverhez tartozó tanúsítványokat importáltam a gépre. (CA és privát kulcsos kliens cert is).

Az elsőként importált cert-hez tartozó VPN-hez tudok kapcsolódni, szépen működik.

A második importált cert-hez tartozó VPN-hez nem tudok kapcsolódni. A gyönyörűséges Windows az elsőként importált cert-et küldi el ott is, és persze így nem megy a bejelentkezés.

Próbáltam az adapterbeállításoknál módosítani, de én ezt látom:

https://imgur.com/a/h2T9qmv

Szóval csak annyi van, hogy "Számítógép tanúsítványok használata". Az rendben is van, DE MELYIK???

Hol lehet ezt megadni?

Hozzászólások

> A gyönyörűséges Windows az elsőként importált cert-et küldi el ott is

Ezt onnan tudom hogy néztem a VPN szerver naplóját, és ott látszódik hogy mit küldött el. A MÁSIK szerverhez tartozó cert-et küldte el.

A StrongSwan kliens beállítások leírásában is pont ezt írják le, amit én csináltam.

Cert import: https://wiki.strongswan.org/projects/strongswan/wiki/Win7Certs

VPN kapcsolat beállítás: https://wiki.strongswan.org/projects/strongswan/wiki/Win7Config

Ők is ugyan úgy a "machine certificate"-et írják, és sehol egy szó nem esik arról, hogy mi van akkor ha több VPN szerver is van, és ezekhez eltérő cert-re van szükség.

Talán nem véletlenül használnak a világon mindenhol 3rd party ipsec vpn klienst, én a windowsba épített korlátolt szart egy cégnél sem láttam még használni.

powershell cli-ből kell konfigolni a GUI-n semmit sem lehet beállítani nagyjából.

https://docs.microsoft.com/en-us/powershell/module/vpnclient/?view=win1…

 

-MachineCertificateEKUFilter

Specifies an array of enhanced key usage (EKU) filters for Internet Key Exchange version 2 (IKEv2) machine certificate selection.

 

-MachineCertificateIssuerFilter

Specifies the X509 certificate of the issuer filter for IKEv2 machine certificate selection.

Van róla bármilyen részletes technikai leírás (nem Technet, hanem 3rd party), hogy pontosan miket lehet egy up-to-date W10 beépített IPSEC VPN klienssel megoldani, és mik azok a protokollok amiket nagyon nem képes kezelni/támogatni, pedig illene neki? Illetve van-e bármi fejlődés az egyes w10 verziókban IPSEC téren? Vagy a szokásos dilettáns MSFT fejlesztési irányt tolják itt is: elmegy vmi értelmetlen irányba, miközben a felhasználók teljesen más dolgokat hiányolnak belőle?

https://www.windowscentral.com/built-windows-10-vpn-worth-using --> ez 1 tökéletes példa a semmitmondó használhatatlan cikkre

Nem tudok ilyenről, az biztos, hogy ez a powershell-es konfig sem ma került bele a Win 10-be néhány éve már benne van.

Egyébként a fentebb linkelt doksiban elég sok minden le van írva. A kérdező problémájára mindenesetre elvileg van megoldás.

Egyébként általában az van, hogy akik a Windows 10 beépített VPN megoldásait használják azok ezt a Windows Server VPN szerverével teszik.

Arról azért van doksi:

https://docs.microsoft.com/en-us/windows-server/remote/remote-access/re…

 

Third party szerver megoldásoknál meg marad a TRIAL and ERROR.

Amúgy valaki pont fordítottat kérdezett legutóbb Stronswan ikev2 klienssel akart kapcsolódni Windows VPN szerverhez. Na erről meg aztán zéró infó van. De ez is ment némi heggesztés után.