Windows по умолчанию не добавляет маршрут IPv6. Есть обходной путь:
В Windows 10 и, предположительно, во всех будущих версиях, где доступен PowerShell, вы можете использовать командлет MS PowerShell Add-VpnConnectionRoute. Этот командлет не позволяет добавить маршрут по умолчанию 0::/0. Однако в большинстве случаев маршрут по умолчанию через VPN вам и не нужен. На текущий момент (январь 2026) пространство IPv6 IANA включает только блок 2000::/3 как Global Unicast, и добавление этого префикса полностью достаточно для маршрутизации всего трафика через VPN-интерфейс. Командлет позаботится о добавлении маршрута при подключении к VPN и его удалении при отключении. Также, в отличие от netsh, это обычно не требует прав администратора и полностью интегрировано с графическим интерфейсом Windows, что избавляет вас от необходимости использовать батч-файлы.
Add-VpnConnectionRoute -ConnectionName "<имя интерфейса>" -DestinationPrefix "2000::/3"
По умолчанию в операционных системах Windows 7 и Windows 11 предлагается только слабый modp1024 алгоритм обмена ключами Диффи-Хеллмана, который устарел согласно специальной публикации NIST 800-57, часть 3, редакция 1, с 2015 года:
ike = 3des-aes128-aes192-aes256-sha1-sha256-sha384-modp1024
Кроме того, Windows 11 предлагает AES-GCM алгоритм аутентифицированного шифрования (AEAD), но, к сожалению, и с уязвимой modp1024 группой Диффи-Хеллмана.
ike = aes128gcm16-aes256gcm16-sha1-sha256-sha384-modp1024
Поэтому, если вы не хотите, чтобы какая-либо крупная секретная служба прослушивала ваши разговоры, мы настоятельно рекомендуем вам включить modp2048 группу Диффи-Хеллмана, добавив ее NegotiateDH2048_AES256 DWORD в реестр Windows с помощью команды regedit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256
В качестве значений можно использовать 0, 1 или 2. В таблице ниже приведено объяснение значения этих значений.
| Значение | Описание |
|---|---|
| 0 | Отключить AES-256-CBC и MODP-2048. Это значение по умолчанию. |
| 1 | Включить AES-256-CBC и MODP-2048 |
| 2 | Включить обязательное использование AES-256-CBC и MODP-2048. |
При установке значения на 2, Windows 11 предлагает
ike = aes256-sha1-sha256-sha384-modp2048
К сожалению, предлагаемые решения ESP по-прежнему содержат слабые алгоритмы шифрования, DES в том числе и одиночные NULL, а целостность данных ограничена определенными параметрами SHA1
esp = aes256-aes128-3des-des-null-sha1
С помощью Set-VpnConnectionIPsecConfiguration командлета PowerShell можно использовать еще больше алгоритмов, таких как AES-GCM и ECP группы Диффи-Хеллмана (по крайней мере, в Windows 10). VPN-соединение можно добавить через графический интерфейс или с помощью Add-VpnConnection командлета.
В этой статье рассматривается подготовка конфигурационного файла swanctl для strongSwan.
Предполагается, что CA, серверные и клиентские сертификаты уже созданы и были подробно разобраны в предыдущей статье — здесь мы к этому возвращаться не будем.
В предыдущей статье мы рассмотрели, почему swanctl является предпочтительным способом управления strongSwan. В этой части разберём структуру каталогов /etc/swanctl и базовые принципы настройки центра сертификации (CA), сертификатов и списков отзыва (CRL).
/etc/swanctlПри использовании swanctl strongSwan следует строгой и предсказуемой структуре каталогов. По умолчанию все файлы располагаются в /etc/swanctl.
strongSwan — это популярная open-source реализация VPN на базе протоколов IPsec / IKEv1 / IKEv2, широко используемая для site-to-site и remote-access VPN.
Проект активно развивается, поддерживает современные криптографические алгоритмы, EAP-аутентификацию, сертификаты, MOBIKE, IKEv2 и хорошо подходит как для серверных, так и для клиентских сценариев.
Избранное
Облако тегов