Pertanyaan Situs ke Situs VPN antara CISCO 2921 dan Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN


saya sudah CISCO 2921 dan Sonicwall NSA 3600. Saya mencoba men-setup Situs ke situs VPN. Saya mendapatkan:

Received notify. NO_PROPOSAL_CHOSEN

di log Sonicwall dan VPN tidak diatur.

Sepertinya fase 1 baik-baik saja karena saya mendapatkan:

Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500  CISCO_IP, 500 VPN Policy: test   

di log sonicwall tepat sebelum pesan NO_PROPOSAL_CHOSEN.

Saya sudah memeriksanya:

  • Otentikasi / algoritma Otorisasi di kedua sisi dan mereka cocok (DES / SHA1)
  • Subnet yang benar dikonfigurasi di kedua sisi koneksi (172.16.0.0 di sisi Sonicwall dan 172.19.0.0 di sisi Cisco)

Kedua debug crypto isakmp dan debug crypto ipsec pada cisco tidak memberi saya output apapun.

Karena antarmuka WAN diatur sebagai / 28 ada sedikit pengaturan nat tapi saya pikir itu tidak relevan jadi saya menghapusnya dari contoh konfigurasi CISCO di bawah ini, saya akan menambahkannya ketika diminta. Komputer yang terhubung ke 172.19.0.0 memiliki akses internet dengan alamat IP yang benar sehingga saya pikir bahwa nat-ing tidak relevan.

Dapatkah seseorang tolong bantu saya dengan ini? Saya mungkin kehilangan beberapa konfigurasi atau saya telah membuat kesalahan bodoh.

Konfigurasi cisco yang relevan:

// Phase 1
crypto isakmp policy 1
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP

//Phase 2
crypto ipsec security-association lifetime seconds 28800

crypto ipsec transform-set MYSET esp-des esp-sha-hmac 

crypto map MYMAP 1 ipsec-isakmp 
 set peer SONICWALL_IP
 set transform-set MYSET 
 match address 166

// WAN interface
interface GigabitEthernet0/0
 description WAN
 ip address CISCO_PUBLIC_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MYMAP

//LAN interface
interface GigabitEthernet0/1/3
 switchport access vlan 72
 no ip address

interface Vlan72
 ip address 172.19.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in

access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Penyiapan Sonicwallis sebagai:

enter image description here enter image description here

dan tab Jaringan -> Jaringan Jarak Jauh -> Pilih jaringan tujuan dari daftar diatur sebagai:

enter image description here


5
2018-05-14 15:17




Profil interoperabilitas IPsec VPN yang "dikenal baik" tersedia di sini: vpnc.org/InteropProfiles - Mungkin berjalan melalui Cisco IOS dan SonicOS Ditingkatkan yang akan membantu - Hyppy
Apakah Anda mengizinkan paket dengan protokol 50 (ESP) dan UDP (port 500) di kedua sisi? - fgbreel
Nah, dokumen ini (cisco.com/c/en/us/support/docs/security-vpn/…) mengatakan, bahwa (1) "NAT terjadi sebelum pemeriksaan crypto ketika paket masuk dari dalam ke luar." dan (2) "perintah NAT statis lebih diutamakan daripada pernyataan NAT yang umum untuk semua koneksi". Jadi saya akan memeriksa aturan NAT Anda dengan hati-hati. Dari dokumen yang sama, Anda dapat mencoba 'debug crypto engine' sebagai tambahan terhadap perintah debug yang sudah Anda coba. - Andrey Sapegin
Bisakah Anda juga menulis versi iOS apa yang Anda miliki? Misalnya, menggunakan perintah 'tampilkan versi' atau 'tampilkan flash'. - Andrey Sapegin


Jawaban:


Saya memiliki masalah serupa dan dokumen ini membantu saya ...

VPN: Log menunjukkan "Received Notify: No Proposal Chosen" (SW3902) - Alat Keamanan SonicWALL Terkena Dampak

Petunjuk lainnya adalah periksa passphrase - dan pastikan bahwa pembagian rahasia memiliki panjang minimum 6 karakter.


1
2018-05-19 19:24



Meskipun ini secara teoritis dapat menjawab pertanyaan, berikan konteks di sekitar tautan sehingga orang lain akan tahu apa itu dan mengapa ada di sana. Jika mungkin rangkum atau kutip bagian paling relevan dari tautan penting, seandainya situs target tidak dapat dijangkau atau offline secara permanen. - - HBruijn
Saya akan memeriksanya hari ini. Satu hal setelah melirik tautan - saya tidak memiliki sonicwall di sisi lain dan debug crypto isakmp dan debug crypto ipsecpada cisco tidak memberikan output sama sekali. - Kocur4d
Saya mengulanginya beberapa kali dan masih gagal pada tahap 2. Port terbuka di kedua sisi. Saya perlu memeriksa bahwa NAT-ing pada CISCO mungkin itu adalah pengereman sesuatu. - Kocur4d


NO_PROPOSAL_CHOSEN berarti protokol atau ketidakcocokan kunci. Coba aktifkan "Rahasia kedepan yang sempurna" dan setel ke "Group2" di SonicWall Anda.


0
2018-05-23 11:15