我有一个站点到站点 VPN,之前是在 Cisco 1841 和 Cisco PIX 515 之间建立的。PIX 昨天死机了,我不得不换上一个便宜的 Netgear 防火墙来恢复基本的互联网访问。我希望在更换 Cisco 之前重新建立这个隧道,但 Netgear 并不容易。
假设 Cisco 端是 1.1.1.1 而 Netgear 端是 2.2.2.2。
以下是思科方面的相关配置:
crypto isakmp policy 11
encr 3des
authentication pre-share
group 2
crypto isakmp key redactedKey address 2.2.2.2
!
!
crypto ipsec transform-set sharks esp-des esp-md5-hmac
!
crypto map nolan 11 ipsec-isakmp
set peer 2.2.2.2
set transform-set sharks
match address 120
在 Netgear 中输入 IKE 设置 本地本地身份类型:WAN IP 地址本地身份数据:2.2.2.2
偏僻的 远程身份类型:远程 WAN IP 远程身份数据:[灰色]
IKE SA 参数 加密算法:3DES 认证算法:SHA-1 认证方法:PSK:redactedKey DH 组:group 2 SA 有效期:28800
VPN 策略配置 远程地址:1.1.1.1 本地 IP:任意 远程 IP:范围:192.168.1.1-192.168.1.254(远程 LAN IP 范围)但是,有一些字段用于输入 AH 和 ESP 配置 - Cisco 配置中似乎没有的设置。我将这些全部留空。
但是,当我尝试应用这些设置时,NG 吐出了这个无用的错误: 错误:AH 或 ESP 条件不支持
我的 Cisco 配置中没有对 AH 或 ESP 加密密钥的任何引用,所以我不确定这里要填写什么。
有什么建议么?
答案1
确保以这种方式加密设置为 DES,并将 Auth 设置为 MD5
答案2
我的错误是没有检查“启用加密”和“启用身份验证”字段。Netgear GUI 的布局方式让您相信在选择这些字段时必须输入密钥。Cisco 配置指示 esp-des 和 esp-md5,因此我将“加密”设置为 DES,将“身份验证”设置为 MD5。现在一切都很好!