Windows10のIPsecの設定

知る限り２種類あって、通信相手がいないので試せてないがメモ。

簡単と思われる方法と、従来の方法。

楽々お気楽コース

IKEv2限定で設定項目も最小限。まぁこれくらい簡単じゃないと流行らないよね。

設定→ネットワークとインターネット→VPN→VPN接続を追加する

VPNの種類をIKEv2、簡単にidentiferと事前共有鍵の接続なら、サインイン情報の種類にユーザー名とパスワードを設定すればよろしいかと。

暗号化や完全性やフェーズ１、フェーズ２の設定も何も無いです。具体的にどんな設定なのかは機会があれば試して追記しよう。

細かく設定できる従来の設定コース

Windows7あたりはこのUIでしたね。これだけ設定が大変なのってあんまり無いと思う。IKEv1使いたいなら、こっちしかダメと思う。

コントロールパネルの管理ツールを選択

セキュリティが強化されたWindows Defenderを起動

プロパティを起動

IPsecの設定のタブを選択し、IPsec既定のカスタマイズを選択

キー交換でメインモード（フェーズ１）、データ保護でクイックモード（フェーズ２）の設定をします。まずはキー交換のカスタマイズから。

キー交換に加えてデータ保護もだけど、できるだけ通信相手と同じ設定にしておくのが、ネゴシエーション失敗しないためのポイントですね。

キー交換オプションってのは、多分PFSのことで、IPsec SAの鍵のネゴシエーションの度にISAKMP SA上でもう一度Diffie-Hellman鍵交換する。

これも通信相手と合わせておいたほうがよく、ONにして相手がOFFだとどうなるかは、相手の実装と設定、もしくはWindows10の設定次第。どちらがInitiaterになるかでも変わる。

追加を押すとネゴシエーション内容を追加できる。

次はキー交換の設定

自分は面倒なので事前共有鍵です。追加を押す。

まぁ、事前共有キー（推奨されません）ですが、画面のキー自体も設定例なだけで推奨されません。

KerberosやNLMv2や証明書もいつかやってみたいけど、ちょっと面倒や。しかも、ここで設定する事前共有キーは、後述の設定のほうが反映されるっぽい。

続いて、どの通信相手とIPsecしたいのかの設定。接続セキュリティの規則をクリック。

サーバー間かカスタムで良いと思う。

ここでエンドポイント１か２に自分のアドレスと相手のアドレスを設定。自分のアドレスがDHCPとかで変わるなら任意のIPアドレスですかね。気を付けないと繋がらなくなると思いますが。

トラブルを避けるなら受信接続と送信接続の認証を要求する設定が無難。

事前共有キー使うならここから設定します。

1番目の認証方法の追加で、事前共有キーのところに設定。

規則の適用は普通なら全部チェックで良いのかな。

適当に名前を付ける。

これで設定完了。

相手が突然再起動してDelete SAが出てこないと、IPsec SAの有効期間か通信料が終わるまで一方的にIPsecのパケットを出し続ける現象に陥るが、右クリックして一瞬だけ、無効にして再度有効にすると再ネゴシエーションしてくれる。しかし一瞬無効にはなってしまうのでインターフェースを無効にして行うか、Windows再起動でも良し。