Windows 10 IPSec/IKEv2 SA Rekey 실패 > 에필로그

Windows 10에서 SA의 라이프타임은 28800초이다.

(기본값이고 변경하는 방법은 아직 알지 못함)

라이프타임 90% 쯤에서 갱신돼야 하는데 실패를 한다.

하여 대략 7시간 30분 전후로 세션이 끊어져서 재접속을 하여야 한다.

윈도우가 DH Group을 제대로 처리하지 못하는 것으로 보인다.

아직은 서비스와 윈도우 양쪽은 맞춰주는 수밖에 없다.

서비스에서는 modp2048를 DH Group의 우선 협상 대상으로 설정한다.

(또는 modp2048 하나만 둔다)

strongSwan은 ike = aes256-sha1-sha256-sha384-modp2048,

pfSense는 aes256-sha256-modp2048,

윈도우에서는 이를 지원할 수 있도록 레지스트리 수정한다.

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 2 /f

0은 기본값으로 aes-256-cbc와 modp2048를 지원하지 않는다.

1은 aes-256-cbc와 modp2048를 지원케 한다.

2는 aes-256-cbc와 modp2048 사용을 강제한다.

바로 적용되지 않는 Windows 10 릴리스가 있으니 확실하게 하려면 수정 후 재부팅한다. 

갱신된 횟수 및 세션 정보를 확인하려면 관리자 권한으로 파워쉘을 실행하여 다음을 입력한다.

Get-NetIPsecMainModeSA

등록된 레지스트리를 제거하려면 다음이다.

reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /f