Windows 11 で IKEv2 + EAP-MSCHAPv2 が突然つながらなくなった件
- Windows 11 で IKEv2 + EAP-MSCHAPv2 が突然つながらなくなった件
― StrongSwan 運用者向け原因整理と救済手段 ―
事象
以下の構成で 2か月前まで正常に接続できていた VPN が、Windows 11 の更新後に突然接続不能 になる。
-
サーバー
- strongSwan
- IKEv2
- 認証方式:EAP-MSCHAPv2
-
クライアント
- Windows 11(22H2 以降)
-
症状
- Windows 側:「IKE 認証資格情報は受け付けられません」
-
strongSwan 側:
- IKE_SA_INIT / IKE_AUTH までは進む
- サーバ証明書署名成功
- EAP 応答が返らず half open → timeout
ログ上は「ほぼ成功している」ように見えるため、原因特定に非常に時間を取られる。
結論(先に)
原因は strongSwan ではない。
Windows 11(22H2以降)では、
Windows Defender Credential Guard が有効な環境では EAP-MSCHAPv2 を用いた IKEv2 VPN 接続が事実上ブロックされる
これは UI・エラーメッセージ上ほぼ明示されない。
原因の正体
Microsoft 公式ドキュメント
以下のページに 非常に分かりにくく 記載されている。
🔗 Microsoft Learn https://learn.microsoft.com/ja-jp/windows-server/networking/technologies/extensible-authentication-protocol/network-access (EAP-TLS / EAP-SIM / EAP-MSCHAPv2 の比較文脈)
該当箇所の要点:
MSCHAPv2 は NTLMv1 と同様の攻撃リスクを持つ Windows 11 Enterprise 22H2 以降では Credential Guard により MSCHAPv2 ベースの接続が失敗する可能性がある
重要なのは、
- ❌ 「非推奨です」とは書いていない
- ❌ 「無効化しました」とも書いていない
- ✅ 「使えなくなる可能性があります」だけ
= 実質的に殺している
なぜ分かりにくいのか
-
Windows VPN UI に EAP の種類が表示されない
- 「ユーザー名とパスワード」としか出ない
-
接続エラーが抽象的
- 「認証資格情報が受け付けられません」
-
strongSwan 側は“成功寸前”まで進む
- RSA 署名 OK
- CERT 送信 OK
- EAP 開始 OK
- → クライアントが応答しない
結果として 「証明書?暗号?提案?設定?」と無限デバッグ地獄に入る
救済手段(現実的な選択肢)
① EAP-TLS に移行する(推奨)
Microsoft が唯一「安全」としている方式
- クライアント証明書認証
- strongSwan 完全対応
- Windows / iOS / Android すべて対応
デメリット
- 証明書配布・失効管理が必要
- 個人運用ではやや重い
② L2TP/IPsec にフォールバック(現実解)
- MSCHAPv2 でも L2TP はまだ動く
- 実際、多くの環境で回避成功
注意
- IKEv2 より冗長
- モバイル耐性は弱い
③ WireGuard / OpenVPN に移行(合理解)
-
WireGuard:
- 軽量・高速・実装が素直
- 既に構築済みなら迷わずこちら
-
OpenVPN:
- TLS ベースで挙動が明確
④ Credential Guard を無効化する(非推奨)
可能ではあるが、
- Enterprise / Pro で手順が異なる
- 将来アップデートで再有効化される
- 「VPNのためにOSの防御を殺す」構図
業務・私用ともにおすすめしない。
まとめ
- 問題は strongSwan でも設定でもない
- Windows 11 のセキュリティ設計変更
- EAP-MSCHAPv2 は IKEv2 では事実上終了
「昨日まで動いていたものが、 今日突然“静かに”死ぬ」
これはバグではなく、思想の変更である。
同じ構成で悩んでいる人へ
- あなたの設定は間違っていない
- ログが半分成功して見えるのは罠
- 時間を溶かす前に方式を変えるべき
