Межсайтовый VPN между Strongswan и Cisco ASA

Я пытаюсь настроить VPN между межсетевым экраном Cisco ASA и Strongswan. Судя по журналам, этап 1 завершается без каких-либо проблем, но на этапе выдается следующая ошибка: "Получено уведомление об ошибке NO_PROPOSAL_CHOSEN".


Конфигурации Strongswan

conn finvpn
        auto= start
        authby= секрет
        тип = туннель
        #compress= да
        keyexchange=ikev1
        left= общедоступный IP-адрес SW
        leftid= общедоступный IP-адрес SW
        leftsubnet= частный IP-адрес SW
        leftfirewall= да
        right= публичный IP-адрес ASA
        rightsubnet= частный IP ASA
        rightid= общедоступный IP-адрес ASA
        rekey= да
        # фрагментация = да
        #forceencaps= да
        #dpdaction=clear
        #dpddelay=300 с
        ikelifetime=28800 с
        ike=aes256-sha1-modp1536
        esp=aes256-sha1!
        время жизни =3600 с

Конфигурации ASA для фазы 2

крипто IPsec набор преобразования SET_NAME esp-aes-256 esp-sha-hmac
криптокарта CRYPTO_map 15 соответствует адресу CRYPTONAME
криптокарта CRYPTO_map 15 установить одноранговый узел StrongswanIP
криптокарта CRYPTO_map 15 set transform-set SET_NAME
криптокарта CRYPTO_map 15 установить время жизни ассоциации безопасности, секунд 3600

Журналы на Strongswan

инициирование основного режима IKE_SA connid[2] для CiscoIP
создание запроса ID_PROT 0 [ SA V V V V V V ]
отправка пакета: от StrongswanIP[500] к CiscoIP[500] (256 байт)
полученный пакет: от CiscoIP [500] к StrongswanIP[500] (124 байта)
проанализированный ответ ID_PROT 0 [ SA V V ]
получен draft-ietf-ipsec-nat-t-ike-02\n идентификатор поставщика
получил ФРАГМЕНТАЦИОННЫЙ идентификатор поставщика
создание запроса ID_PROT 0 [ KE No NAT-D NAT-D ]
отправка пакета: от StrongswanIP[500] к CiscoIP[500] (244 байта)
полученный пакет: от CiscoIP [500] к StrongswanIP[500] (304 байта)
проанализированный ответ ID_PROT 0 [ KE No V V V V NAT-D NAT-D ]
получил идентификатор поставщика Cisco Unity
получил идентификатор поставщика XAuth
получил неизвестный идентификатор поставщика: c1:9b:d6:29:0a:e0:8d:c7:c2:73:f2:49:6a:d6:e5:f1
получен неизвестный идентификатор поставщика: 1f:07:f7:0e:aa:65:14:d3:b0:fa:96:54:2a:50:01:00
создание запроса ID_PROT 0 [ ID HASH N(INITIAL_CONTACT) ]
отправка пакета: от StrongswanIP[500] к CiscoIP[500] (100 байт)
полученный пакет: от CiscoIP [500] к StrongswanIP[500] (84 байта)
проанализированный ответ ID_PROT 0 [ ID HASH V ]
получил идентификатор поставщика DPD
Connid IKE_SA [2] установлен между StrongswanIP[StrongswanIP]...CiscoIP[CiscoIP]
планирование повторной аутентификации через 28213сек.
максимальное время жизни IKE_SA 28753 с
создание запроса QUICK_MODE 4231731979 [ HASH SA No ID ID ]
отправка пакета: от StrongswanIP[500] к CiscoIP[500] (196 байт)
полученный пакет: от CiscoIP [500] к StrongswanIP[500] (84 байта)
проанализированный запрос INFORMATIONAL_V1 3001395495 [ HASH N(NO_PROP) ]
получено уведомление об ошибке NO_PROPOSAL_CHOSEN
не удалось установить соединение connid

Любая помощь будет оценена.

0 ответов

Другие вопросы по тегам