L2TP VPN без сертификатов между Windows XP и ZyWALL USG 200

Question

L2TP VPN без сертификатов между Windows XP и ZyWALL USG 200

Я пытаюсь настроить брандмауэр ZyWALL USG 200, чтобы удаленные клиенты Windows XP (динамический IP-адрес) могли подключаться к сети на рабочем месте через L2TP VPN. Я не хочу использовать сертификаты, общего имени пользователя и пароля будет достаточно (и управление сертификатами будет слишком много).

Я не эксперт по L2TP, не говоря уже о IPsec, поэтому, пожалуйста, потерпите меня, если я задаю тривиальные вопросы или допускаю грубые ошибки.

Я настроил то, что я думаю, должно быть L2TP VPN на USG 200, однако я получаю следующую ошибку в своем журнале, когда пытаюсь подключиться от клиента WinXP:

1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG

(обратите внимание, что USG 200 сначала показывает самые последние записи журнала). Из поиска в Google я узнал, что ошибка "Не выбрано предложение" может быть вызвана несоответствием между клиентом и сервером в конфигурации предложения IKE, этап 1. Из этого документа я предполагаю, что следующая конфигурация USG 200 должна работать, но это не так:

Я явно настроил VPN-соединение и L2TP VPN, но я думаю, что эта конфигурация не актуальна, по крайней мере, на данный момент. К сожалению, я не могу сказать, почему он не работает или виноват брандмауэр или клиент. Кажется, я не могу получить какой-либо соответствующий журнал для диагностики проблемы из Windows, поэтому вот как я настроил соединение:

Можете ли вы помочь мне понять, что я делаю не так?

1

windows-xp ipsec l2tp zywall

Источник

Lucio Crusca 25 сен '15 в 11:33

1 ответ

Решение

Другие вопросы по тегам windows-xp ipsec l2tp zywall

Lucio Crusca 25 сен '15 в 15:18 2015-09-25 15:18 · Accepted Answer · 2015-09-25 15:18

Проблема не в конфигурации IKE Phase 1, а в локальной политике в настройках соединения (не показано в моем вопросе). Локальная политика должна быть IP-интерфейсом открытого интерфейса в моем случае, и это не так. Сообщение журнала вводит в заблуждение, но USG фактически предупреждала меня об этой проблеме, однако я решил исправить это предупреждение как второй шаг, и проблема IKE Phase 1 была первой, которая должна быть решена.

Эта страница помогла мне понять.