Windows 10 IPSec/IKEv2 SA Rekey 실패 > 에필로그

본문 바로가기

Windows 10 IPSec/IKEv2 SA Rekey 실패

페이지 정보

작성자 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 에필로그 댓글 0건 조회 1,455회 작성일 22-05-23 11:19

본문

Windows 10에서 SA의 라이프타임은 28800초이다.
(기본값이고 변경하는 방법은 아직 알지 못함)
라이프타임 90% 쯤에서 갱신돼야 하는데 실패를 한다.
하여 대략 7시간 30분 전후로 세션이 끊어져서 재접속을 하여야 한다.
윈도우가 DH Group을 제대로 처리하지 못하는 것으로 보인다.
아직은 서비스와 윈도우 양쪽은 맞춰주는 수밖에 없다.
서비스에서는 modp2048를 DH Group의 우선 협상 대상으로 설정한다.
(또는 modp2048 하나만 둔다)
strongSwan은 ike = aes256-sha1-sha256-sha384-modp2048,
pfSense는 aes256-sha256-modp2048,
윈도우에서는 이를 지원할 수 있도록 레지스트리 수정한다.
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /t REG_DWORD /d 2 /f
0은 기본값으로 aes-256-cbc와 modp2048를 지원하지 않는다.
1은 aes-256-cbc와 modp2048를 지원케 한다.
2는 aes-256-cbc와 modp2048 사용을 강제한다.
바로 적용되지 않는 Windows 10 릴리스가 있으니 확실하게 하려면 수정 후 재부팅한다. 
갱신된 횟수 및 세션 정보를 확인하려면 관리자 권한으로 파워쉘을 실행하여 다음을 입력한다.
Get-NetIPsecMainModeSA
등록된 레지스트리를 제거하려면 다음이다.
reg delete HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters /v NegotiateDH2048_AES256 /f

댓글목록

등록된 댓글이 없습니다.

에필로그 340건/1페이지
에필로그 목록
번호 제목 글쓴이 조회 날짜
340 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 463 11-28
339 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 436 11-28
338 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 450 11-27
337 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 419 11-27
336 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 446 11-27
335 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 419 11-27
334 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 435 11-27
333 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 450 11-27
332 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 607 10-19
331 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 927 07-15
330 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 983 07-15
329 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 890 07-15
328 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 1230 05-11
327 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 1159 05-11
326 no_profile 상석하대 쪽지보내기 메일보내기 자기소개 아이디로 검색 전체게시물 1175 05-10
게시물 검색
[문의] 전화 : 0707-443-0499 메일 : t8@t8.co.kr [분야] Linux, Unix, Windows DNS, 웹, WAS, 역방향프록시, 앱 SQL, 메일, 스트리밍, CDN SMB/CIFS, FTPs, NFS, AFP IKEv2, OpenVPN, WireGuard 대범위 DHCP, WiFi 종속포털, AAA DDoS 우회/분산, 랜섬웨어 대비 장애/재난/해킹시스템 복구 서비스/P2V 마이그레이션 XSS/웹쉘/인젝션/백도어 제거 서버 업그레이드/교체/이전 주문/맞춤/복합/간이서버 제작 특별/희귀/생소한 시스템 상담/구현 문제해결 외

Copyright © T8. All rights reserved.