我正在建立从我的办公室到 Amazon Web Services VPC 的 IPSEC 隧道,使用 Windows 2008 R2 计算机作为“客户网关”。我使用本指南配置了我的计算机这里。
但是隧道始终无法启动。我与 AWS 支持人员进行了深入交流,发现 IPSEC 隧道的第 1 阶段(即 IKE 关联)已经成熟并建立良好,但第 2 阶段或快速模式失败并出现以下错误:
快速模式协商失败 - 原因“未配置策略”
我检查了这个官方微软 VPN IPSEC 解决方案指南这不符合我的情况。
附言
我已经在 EC2 实例中配置了 Windows 2008 R2 来连接另一个区域的 AWS VPC,效果很好!我使用的配置与 AWS 提供的相同,但它在我的办公室不起作用!
我的问题是:1) 第 2 阶段连接未建立的所有可能性有哪些?2) 帮我识别此安全事件日志“快速模式协商失败 - 未配置策略”
答案1
阶段 2 是指 VPN 端点交换有关受保护的 LAN 段以及用于加密/身份验证这些段的协议的信息。
通常情况下,在以下情况下会出现 Phase2 错误:
- 两个 VPN 端点对于 VPN 内部应该路由的内容有不同的看法
- 当 ENC/AUTH 协议不匹配时。
让我举个例子:假设您有第一个防火墙(A),其 LAN 为 192.168.1.0/24,第二个防火墙(B),其 LAN 为 192.168.2.0/24。
防火墙 A 为防火墙 B 配置了一个 VPN,将其 LAN 192.168.1.0/24 路由到 VPN 内部。同时,由于配置错误,远程 LAN(B 的 LAN)被定义为 192.168.3.0/24。
另一侧的防火墙 B 配置正确:其 LAN 192.168.2.0/24 在 VPN 内部与远程 LAN 192.168.1.0/24 进行路由。
当防火墙 A 开始 P2 协商时,第二个防火墙 (B) 将会抱怨 P2 策略错误,因为它对(配置错误的)192.168.3.0/24 段一无所知。
因此,请仔细检查 VPN 内路由的网络和用于阶段 2 的 ENC/AUTH 协议。