Межсайтовый VPN между Strongswan и Cisco ASA
Я пытаюсь настроить VPN между межсетевым экраном Cisco ASA и Strongswan. Судя по журналам, этап 1 завершается без каких-либо проблем, но на этапе выдается следующая ошибка: "Получено уведомление об ошибке NO_PROPOSAL_CHOSEN".
Конфигурации Strongswan
conn finvpn auto= start authby= секрет тип = туннель #compress= да keyexchange=ikev1 left= общедоступный IP-адрес SW leftid= общедоступный IP-адрес SW leftsubnet= частный IP-адрес SW leftfirewall= да right= публичный IP-адрес ASA rightsubnet= частный IP ASA rightid= общедоступный IP-адрес ASA rekey= да # фрагментация = да #forceencaps= да #dpdaction=clear #dpddelay=300 с ikelifetime=28800 с ike=aes256-sha1-modp1536 esp=aes256-sha1! время жизни =3600 с
Конфигурации ASA для фазы 2
крипто IPsec набор преобразования SET_NAME esp-aes-256 esp-sha-hmac криптокарта CRYPTO_map 15 соответствует адресу CRYPTONAME криптокарта CRYPTO_map 15 установить одноранговый узел StrongswanIP криптокарта CRYPTO_map 15 set transform-set SET_NAME криптокарта CRYPTO_map 15 установить время жизни ассоциации безопасности, секунд 3600
Журналы на Strongswan
инициирование основного режима IKE_SA connid[2] для CiscoIP создание запроса ID_PROT 0 [ SA V V V V V V ] отправка пакета: от StrongswanIP[500] к CiscoIP[500] (256 байт) полученный пакет: от CiscoIP [500] к StrongswanIP[500] (124 байта) проанализированный ответ ID_PROT 0 [ SA V V ] получен draft-ietf-ipsec-nat-t-ike-02\n идентификатор поставщика получил ФРАГМЕНТАЦИОННЫЙ идентификатор поставщика создание запроса ID_PROT 0 [ KE No NAT-D NAT-D ] отправка пакета: от StrongswanIP[500] к CiscoIP[500] (244 байта) полученный пакет: от CiscoIP [500] к StrongswanIP[500] (304 байта) проанализированный ответ ID_PROT 0 [ KE No V V V V NAT-D NAT-D ] получил идентификатор поставщика Cisco Unity получил идентификатор поставщика XAuth получил неизвестный идентификатор поставщика: c1:9b:d6:29:0a:e0:8d:c7:c2:73:f2:49:6a:d6:e5:f1 получен неизвестный идентификатор поставщика: 1f:07:f7:0e:aa:65:14:d3:b0:fa:96:54:2a:50:01:00 создание запроса ID_PROT 0 [ ID HASH N(INITIAL_CONTACT) ] отправка пакета: от StrongswanIP[500] к CiscoIP[500] (100 байт) полученный пакет: от CiscoIP [500] к StrongswanIP[500] (84 байта) проанализированный ответ ID_PROT 0 [ ID HASH V ] получил идентификатор поставщика DPD Connid IKE_SA [2] установлен между StrongswanIP[StrongswanIP]...CiscoIP[CiscoIP] планирование повторной аутентификации через 28213сек. максимальное время жизни IKE_SA 28753 с создание запроса QUICK_MODE 4231731979 [ HASH SA No ID ID ] отправка пакета: от StrongswanIP[500] к CiscoIP[500] (196 байт) полученный пакет: от CiscoIP [500] к StrongswanIP[500] (84 байта) проанализированный запрос INFORMATIONAL_V1 3001395495 [ HASH N(NO_PROP) ] получено уведомление об ошибке NO_PROPOSAL_CHOSEN не удалось установить соединение connid
Любая помощь будет оценена.