Problemas com VPN IPsec com cliente strongSwan – MODp_2048 e Windows

A utilização de acesso remoto por VPNs é cada vez mais comum (e agora em tempos de COVID19, praticamente inevitável).

Há algum tempo atrás instalei um firewall que utilizava pfsense (ótimo firewall para quem precisa de uma proteção mais sofisticada para sua rede) e comecei a utilizar seus recursos e foi quando configurei uma VPN com IPsec, pela facilidade de configuração e já existir um cliente nativo desde o Windows 7.

Como utilizo um celular android procurei um cliente IPsec e utilizei o strongSwan, que também a passei a utilizar no Linux. Tudo funcionava bem até o strongSwan chegar na versão 4.4, quando passou a forçar a utilização de chaves de 2048 bits (DH group 14).

Não conseguia mais acesso via android ou Linux. Com Windows estava tudo funcionando.

Observando os logs do pfsense encontrava esse alerta nas tentativas falhas com cliente strongSwan:

[IKE] DH group MODP_2048 inacceptable, requesting MODP_1024

Pesquisei e vi que era por conta da mudança. A primeira coisa foi adequar o pfsense e forçar a utilização do grupo DH-14 (anteriormente estava utilizando DH-2, 1024 bits), nas opções de Fase 1 do algoritmo de encriptação. No menu do pfsense o caminho é VPN / IPsecMobile / Clients / Edit Phase 1.

Pronto, os clientes strongSwan voltaram a funcionar perfeitamente. Os clientes Windows é que deixaram de funcionar. 😦

Mas no próprio site do strongSwan havia a descrição do problema: o cliente IPsec Windows é capaz de trabalhar com o grupo DH-14, porém vem com essa funcionalidade desabilitada.

Para habilitar basta a criar uma chave DWord no registry com o valor 1:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters\NegotiateDH2048_AES256

Após essa alteração voltei a ter conectividade em todos os clientes.

No caso do Windows 7 há um procedimento especial para importar certificados privados que sejam utilizados em conexões IPsec:

- Clicar 2 vezes no seu certificado Meu_certificado.crt
- Clicar no botão Instalar Certificado
- Avançar
- Colocar todos os certificados no repositório a seguir
- Clicar em Procurar
- Marcar “Mostar Repositórios Físicos”
- Selecionar “Autoridades de Certificação Raiz Confiável” e dentro desta chave “Computador Local”
- Selecionar OK
- Avançar
- Concluir
- OK