我正在尝试在我们的网络上建立一个新的 ASA5505(以前我们使用 IPCop),但在使用 VPN 时遇到了一些问题。我在 ASA(8.3)上的 ASDM(6.3)中运行了 IPSec VPN 向导,并选择了第二个选项 L2TP over IPSec。在配置文件中启用 L2TP/IPSec 和 IPSec 后,我能够连接以下客户端:
- OSX 内置 VPN 客户端
- OSX Cisco VPN 客户端
- iPhone
- 更多截屏
我正在尝试让我们的 Windows 客户端进行连接,但不幸的是,使用 Cisco VPN 客户端对我们来说不是一个选择,因为我们大多数人运行的是 64 位 Windows 7,但 ASA 附带了 VPN 客户端 5.0.06 版本,而 5.0.07 是引入 64 位支持的版本。
我正在尝试使用 Windows 7 中的内置 L2TP/IPSec 客户端连接到 VPN,但这是我连接时在监视器(设置为调试级别)中看到的事件链:
Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500)
Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status: Remote end IS behind a NAT device This end is NOT behind a NAT device
AAA retrieved default group policy (vpn) for user = DefaultRAGroup
Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED
IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None)
Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable!
Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)!
Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch
(IP 地址替换为 xxxx)
此时,Windows 客户端只是坐在那里,最终超时。
有谁知道我需要做哪些改变才能让这个功能在已经工作的客户端上运行和视窗?
我对 Cisco 设备还不是很熟悉,因此,如果我没有提供任何调试或其他日志信息,我深表歉意。请随时提问,我会修改我的问题。
答案1
首先仔细检查您的设置。
所有 IPSec SA 提议均不可接受!
...
会话正在被拆除。原因:第 2 阶段不匹配
这很可能意味着设置确实不匹配。不幸的是,我没有使用过 Windows 的内置客户端,因此我没发现任何兼容性问题。
其次,如果你无法从零售商、cisco.com 等处获取最新版本的 Cisco VPN 客户端,那么我建议你尝试一下这个客户端http://www.shrew.net/software。在 Cisco 修复其客户端的 64 位问题之前,我们就一直在使用这个。
答案2
另一个快速提示:如果您有多个动态加密映射,则需要使您的 L2TP 加密映射具有比其他加密映射更高的优先级。由于此问题,您经常会看到“所有 IPSec SA 提议均不可接受”。
答案3
这可能是因为 Windows 没有使用相同的加密。
您是否使用 3DES-MD5 或 3DES-SHA 设置了 VPN?
只要确保这也是 Windows 正在使用的即可。
答案4
尝试下面的方法,经过几个小时的努力后它帮助了我......
加密 ipsec 变换集 myset esp-3des esp-sha-hmac
加密 ipsec 变换集 myset 模式传输
加密动态映射mydynamapp 20集变换集myset
加密 isakmp 策略 10 身份验证预共享加密 3des hash sha 组 2
隧道组 DefaultRAGroup ppp 属性无身份验证 chap 身份验证 ms-chap-v2
用户名 cisco 密码 cisco chap 用户名 cisco 属性
vpn 隧道协议 l2tp-ipsec
保持其他配置最少,它应该可以工作。