Приветствую, коллеги.
Имеется VPN-шлюз на ОС Wdinows Server 2008 R2. Настроены различные протоколы: L2TP+PSK, IKEv2 и SSTP. Все работает, нареканий нет.
Так как текущая ОС уже не поддерживается решили перенести сервис на более свежую ОС. Развернул ВМ с Windows Server 2025, установлена роль Удаленный доступ. Через оснастку RRAS стал настраивать сервис и столкнулся со следующим поведением - по какой-то причине PSK (Preshared key) применяется к обоим протоколам сразу: и к L2TP и IKEv2. Удивился. Беглый поиск ответов не дал. Развернул ВМ с Windows Server 2019, все тоже самое, PSK применяется на оба протокола, видимо из-за политики IPSec, так как L2TP работает внутри IPSec. В логах сервера это выглядит так:
Ошибка при согласовании основного режима IPsec.
Дополнительные сведения:
Имя модуля ключей: IkeV2
Метод проверки подлинности: Предварительный ключ
Роль: Респондент
Состояние олицетворения: Не включено
Сведения об ошибке:
Точка ошибки: локальный компьютер
Причина ошибки: Новая политика сделала недопустимыми SA, сформированные при старой политике
Также в консоле RRAS заметил разницу в отображении настроек PSK:
Поиск результатов не дал, в документации MS тоже ничего интересного, кроме как в Server 2025 по умолчанию отключены порты для L2TP, но это поправимо. На сайте richardhicks.com подобной темы нет, зато описываются проблемы настройки RRAS для Server 2025.
В общем ситуация странная: PSK применяется к IKEv2, по при этом на Windows 10 при создании VPN-соединения нет вариант IKEv2+PSK, хотя такой вариант есть на устройствах с Android, но при этом там нельзя ввести логин/пароль.
Есть идеи как настроить PSK только для L2TP и не применять для IKEv2? Хотелось бы провести миграцию незаметно для пользователей с текущими VPN-соединениями на клиентах.