Назад | Перейти на главную страницу

Несоответствие фазы 2 при подключении Windows 7 к ASA5505 VPN

Я пытаюсь установить новый ASA5505 в нашей сети (ранее мы использовали IPCop), и у меня возникла небольшая проблема с работой VPN. Я запустил мастер IPSec VPN в ASDM (6.3) на ASA (8.3) и выбрал второй вариант, L2TP через IPSec. После включения L2TP / IPSec и IPSec в профиле я могу подключаться к следующим клиентам:

Я пытаюсь заставить наших клиентов Windows подключиться, но использование клиента Cisco VPN, к сожалению, не вариант для нас, так как большинство из нас работает с 64-разрядной версией Windows 7, но ASA поставляется с версией 5.0.06 клиента VPN, но 5.0.07 была версией, в которой была представлена ​​64-битная поддержка.

Я пытаюсь использовать встроенный клиент L2TP / IPSec в Windows 7 для подключения к VPN, но вот цепочка событий, которые я вижу на мониторе (установленном на уровне отладки) при подключении:

Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500)
Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status:     Remote end   IS   behind a NAT device     This   end is NOT behind a NAT device
AAA retrieved default group policy (vpn) for user = DefaultRAGroup
Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED
IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None)
Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable!
Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)!
Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch

(IP-адрес заменен на x.x.x.x)

В этот момент клиент Windows просто сидит и сидит, и в конечном итоге время ожидания истекает.

Кто-нибудь знает, что мне может потребоваться изменить, чтобы это работало для обоих клиентов, которые уже работают и Windows?

У меня еще нет большого опыта работы с оборудованием Cisco, поэтому я прошу прощения, если есть какая-либо отладочная или дополнительная информация для ведения журнала, которую я должен был включить. Не стесняйтесь спрашивать, и я исправлю свой вопрос.

http://gregsowell.com/?p=805

Еще одно небольшое примечание: если у вас несколько динамических криптокарт, вам нужно сделать так, чтобы ваша криптокарта L2TP имела более высокий приоритет, чем другие. Из-за этой проблемы вы часто увидите «Все предложения IPSec SA признаны неприемлемыми».

Прежде всего дважды проверьте свои настройки.

Все предложения IPSec SA признаны неприемлемыми!

...

Сессия сносится. Причина: несоответствие фазы 2

Это, скорее всего, означает несоответствие настроек. К сожалению, я не использовал встроенный клиент Windows и не знаю о каких-либо проблемах совместимости.

Во-вторых, если вы не можете получить последнюю версию VPN-клиента Cisco, например, у вашего продавца, cisco.com и т. Д., Я предлагаю вам попробовать этот клиент. http://www.shrew.net/software. Это то, что мы использовали до того, как Cisco решила 64-битную проблему со своим клиентом.

Возможно, в Windows используется другое шифрование.

Вы настроили VPN с помощью 3DES-MD5 или 3DES-SHA?

Просто убедитесь, что это то, что использует Windows.

попробуйте следующее, это помогло мне после нескольких часов борьбы ...

крипто-ipsec transform-set myset esp-3des esp-sha-hmac

крипто-ipsec transform-set myset mode transport

крипто-динамическая карта mydynamapp 20 набор преобразований myset

крипто isakmp policy 10 аутентификация pre-share шифрование 3des hash sha group 2

туннельная группа DefaultRAGroup ppp-attributes без аутентификации аутентификация главы ms-chap-v2

имя пользователя пароль cisco cisco chap имя пользователя атрибуты cisco

VPN-туннель-протокол l2tp-ipsec

оставьте другую конфигурацию минимальной, она должна работать.