CISCO 2921 和 Sonicwall NSA 3600 之间的站点到站点 VPN:NO_PROPOSAL_CHOSEN
Koc*_*r4d 5 cisco sonicwall site-to-site-vpn
我有思科 2921和Sonicwall NSA 3600。我正在尝试设置站点到站点 VPN。我正进入(状态:
Received notify. NO_PROPOSAL_CHOSEN
在 Sonicwall 日志中,但未设置 VPN。
看起来第一阶段没问题,因为我得到:
Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500 CISCO_IP, 500 VPN Policy: test
在 NO_PROPOSAL_CHOSEN 消息之前的 sonicwall 日志中。
我检查过:
- 双方的认证/授权算法并且它们匹配(DES/SHA1)
- 在连接的两端配置了正确的子网(Sonicwall 端为 172.16.0.0,Cisco 端为 172.19.0.0)
这两种调试加密ISAKMP和调试加密的IPSec思科并没有给我任何的输出。
因为 WAN 接口设置为 /28,所以有一些 nat-ing 设置,但我认为它不相关,所以我从下面的 CISCO 配置示例中删除了它,我会在需要时添加它。连接到 172.19.0.0 的计算机可以使用正确的 IP 地址访问互联网,所以我认为 nat-ing 无关紧要。
有人可以帮我解决这个问题吗?我可能缺少一些配置或者我犯了一个愚蠢的错误。
相关 cisco 配置:
// Phase 1
crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP
//Phase 2
crypto ipsec security-association lifetime seconds 28800
crypto ipsec transform-set MYSET esp-des esp-sha-hmac
crypto map MYMAP 1 ipsec-isakmp
set peer SONICWALL_IP
set transform-set MYSET
match address 166
// WAN interface
interface GigabitEthernet0/0
description WAN
ip address CISCO_PUBLIC_IP 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map MYMAP
//LAN interface
interface GigabitEthernet0/1/3
switchport access vlan 72
no ip address
interface Vlan72
ip address 172.19.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly in
access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Sonicwallis 设置为:
网络选项卡 -> 远程网络 -> 从列表中选择目标网络设置为:
小智 1
我遇到了类似的问题,这份文档帮助了我......
VPN:日志显示“已收到通知:未选择建议”(SW3902) - 受影响的 SonicWALL 安全设备
另一个提示是检查密码- 并确保共享密码的最小长度为 6 个字符。