Я пытаюсь настроить брандмауэр ZyWALL USG 200, чтобы позволить удаленным клиентам Windows XP (динамический IP-адрес) подключаться к сети рабочего места с помощью L2TP VPN. Я не хочу использовать сертификаты, обычного имени пользователя и пароля будет достаточно (а управление сертификатами было бы слишком много).
Я не эксперт по L2TP, не говоря уже о IPsec, поэтому терпите меня, если я задам тривиальные вопросы или сделаю вопиющие ошибки.
Я настроил то, что, по моему мнению, должно быть L2TP VPN на USG200, однако я получаю следующую ошибку в его журнале, когда пытаюсь подключиться с клиента WinXP:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(обратите внимание, что USG200 сначала показывает самые последние записи журнала). В результате поиска в Google я понял, что ошибка «Предложение не выбрано» может быть вызвано несоответствием между клиентом и сервером в конфигурации предложения фазы 1 IKE. Из этот документ Я предполагаю, что следующая конфигурация USG200 должна работать, но это не так:
Я, очевидно, также настроил VPN-соединение и L2TP VPN, но я предполагаю, что эта конфигурация не имеет отношения, по крайней мере, на данный момент. К сожалению, я не могу сказать, почему он не работает, или виноват брандмауэр или клиент. Кажется, я не могу получить какой-либо соответствующий журнал для диагностики проблемы из Windows, поэтому вот как я настроил соединение:
Не могли бы вы помочь мне понять, что я делаю не так?
Проблема не в конфигурации IKE Phase 1, а в локальной политике в настройках подключения (не показано в моем вопросе). В моем случае Local Policy должен быть IP-адресом общедоступного интерфейса, а это не так. Сообщение журнала вводит в заблуждение, но USG на самом деле предупреждало меня об этой проблеме, однако я решил, что исправление этого предупреждения было вторым шагом, и проблема IKE Phase 1 была первой, которую нужно было решить.
Эта страница помогли мне понять.