Межсайтовый VPN между CISCO 2921 и Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN

у меня есть CISCO 2921 и Sonicwall NSA 3600. Я пытаюсь настроить VPN с сайта на сайт. Я получаю:

Received notify. NO_PROPOSAL_CHOSEN

в журналах Sonicwall и VPN не настроен.

Похоже, что с фазой 1 все в порядке, так как я получаю:

Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500  CISCO_IP, 500 VPN Policy: test

в журналах sonicwall непосредственно перед сообщением NO_PROPOSAL_CHOSEN.

Я проверил:

Алгоритмы аутентификации / авторизации на обеих сторонах, и они совпадают (DES / SHA1)
Правильные подсети настроены на обеих сторонах соединения (172.16.0.0 на стороне Sonicwall и 172.19.0.0 на стороне Cisco)

Обе отладка крипто isakmp и отладка крипто-ipsec на cisco не дает мне никакого вывода.

Поскольку интерфейс WAN настроен как / 28, есть небольшая настройка, но я думаю, что это не актуально, поэтому я удалил его из приведенного ниже примера конфигурации CISCO, я добавлю его по запросу. Компьютеры, подключенные к 172.19.0.0, имеют доступ в Интернет с правильным IP-адресом, поэтому я думаю, что натинг не имеет значения.

Может ли кто-нибудь помочь мне с этим? Возможно, мне не хватает какой-то конфигурации или я сделал глупую ошибку.

Соответствующая конфигурация cisco:

// Phase 1
crypto isakmp policy 1
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP

//Phase 2
crypto ipsec security-association lifetime seconds 28800

crypto ipsec transform-set MYSET esp-des esp-sha-hmac 

crypto map MYMAP 1 ipsec-isakmp 
 set peer SONICWALL_IP
 set transform-set MYSET 
 match address 166

// WAN interface
interface GigabitEthernet0/0
 description WAN
 ip address CISCO_PUBLIC_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MYMAP

//LAN interface
interface GigabitEthernet0/1/3
 switchport access vlan 72
 no ip address

interface Vlan72
 ip address 172.19.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in

access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Sonicwallis настроен как:

а вкладка Сеть -> Удаленные сети -> Выбрать сеть назначения из списка настроена как:

У меня была похожая проблема, и этот документ мне помог ...

VPN: в журнале отображается «Полученное уведомление: предложение не выбрано» (SW3902) - Затронутое устройство безопасности SonicWALL

Еще один намек - проверьте кодовую фразу - и убедитесь, что общий секретный раздел имеет минимальную длину 6 символов.

NO_PROPOSAL_CHOSEN означает несоответствие протокола или ключа. Попробуйте включить «Идеальную прямую секретность» и установите для него значение «Group2» на вашем SonicWall.