在windows 10 VPN上启用IKE跟踪

Question

我有一个IKEV2 VPN设置(包括证书)，在windows 7上运行良好。在Windows10上，相同的配置失败了，因为“IKE身份验证凭据是不可接受的”。服务器是StrongSwan。日志中连接尝试的最后一行是：

2016-02-11T12:34:57.457606+00:00 e01pfw01 charon: [info] 05[IKE] assigning virtual IP 10.7.220.6 to peer '**<removed>**'
2016-02-11T12:34:57.461904+00:00 e01pfw01 charon: [info] 05[IKE] CHILD_SA rw-ops{5592} established with SPIs c221e19b_i 29212c9e_o and TS 10.6.75.0/24 10.7.240.0/20 === 10.7.220.6/32 
2016-02-11T12:34:57.518381+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 -- 62.23.139.70 == 10.6.75.0/24
2016-02-11T12:34:57.580529+00:00 e01pfw01 vpn: [notice] + **<removed>** 10.7.220.6/32 == 212.159.106.131 -- 62.23.139.70 == 10.7.240.0/20
2016-02-11T12:34:57.581975+00:00 e01pfw01 charon: [info] 05[ENC] generating IKE_AUTH response 1 [ IDr CERT AUTH CPRP(ADDR) SA TSi TSr N(AUTH_LFT) ]
2016-02-11T12:34:57.582578+00:00 e01pfw01 charon: [info] 05[NET] sending packet: from 62.23.139.70[4500] to 212.159.106.131[4500] (1412 bytes)

我在strongswan日志中看不到任何问题，实际上，我甚至没有看到对上面t行的响应(尽管我可以从pcap中看到客户机发送响应)，所以我想在Windows 10客户机上调试IKE身份验证过程。有人能告诉我这是怎么做的吗？

我试过了netsh set ras tracing * enabled。创建日志文件，但与IKE身份验证无关。netsh ipsec dynamic set config property=ikelogging value=1失败了，因为“请求不支持”。我还没有发现任何其他的东西。

我突然想到，如果windows 10客户端在strongswan中造成了崩溃，但是日志中会出现一些东西，对吗？

Answer 1

为了启用日志(至少在Creator更新和以上版本中)，我们添加了一个新的跟踪提供程序。

Netsh trace start VpnClient per=yes maxsize=0 filemode=single
<Repro the scenario>
Netsh trace stop

另外还有用于额外详细日志记录的VpnClient_dbg。

Answer 2

好的-对于任何遇到类似问题的人: windows事件日志显示错误代码13801连接失败。我在这里看过了：https://blogs.technet.microsoft.com/rrasblog/2009/08/12/troubleshooting-common-vpn-related-errors/。#4是'VPN服务器名称与服务器证书的subjectName不匹配。‘我试图连接到VPN服务器的IP地址。我换了个女主人的名字。

我仍然想知道如何在windows 10 VPN上启用有用的日志记录。