我有思科 2921和Sonicwall NSA 3600。我正在尝试设置站点到站点 VPN。我收到:
Received notify. NO_PROPOSAL_CHOSEN
在 Sonicwall 日志中,VPN 未设置。
看起来第一阶段是没问题的,因为我得到了:
Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500 CISCO_IP, 500 VPN Policy: test
在 NO_PROPOSAL_CHOSEN 消息之前的 sonicwall 日志中。
我检查过:
- 双方的认证/授权算法均匹配(DES/SHA1)
- 连接的两端均配置了正确的子网(Sonicwall 端为 172.16.0.0,Cisco 端为 172.19.0.0)
两个都调试加密 isakmp和调试加密 ipsec在思科上没有给我任何输出。
由于 WAN 接口设置为 /28,因此设置了一些 nat-ing,但我认为这并不重要,因此我从下面的 CISCO 配置示例中删除了它,我会在需要时添加它。连接到 172.19.0.0 的计算机可以使用正确的 IP 地址访问互联网,因此我认为 nat-ing 无关紧要。
有人可以帮我解决这个问题吗?我可能缺少一些配置,或者我犯了一个愚蠢的错误。
相关思科配置:
// Phase 1
crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP
//Phase 2
crypto ipsec security-association lifetime seconds 28800
crypto ipsec transform-set MYSET esp-des esp-sha-hmac
crypto map MYMAP 1 ipsec-isakmp
set peer SONICWALL_IP
set transform-set MYSET
match address 166
// WAN interface
interface GigabitEthernet0/0
description WAN
ip address CISCO_PUBLIC_IP 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map MYMAP
//LAN interface
interface GigabitEthernet0/1/3
switchport access vlan 72
no ip address
interface Vlan72
ip address 172.19.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly in
access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Sonicwallis 设置为:
网络选项卡 -> 远程网络 -> 从列表中选择目标网络设置为:
答案1
我遇到了类似的问题,这份文档帮助了我...
VPN:日志显示“收到通知:未选择提案”(SW3902) - 受影响的 SonicWALL 安全设备
另一个提示是检查密码- 并确保共享密钥的长度至少为 6 个字符。
答案2
NO_PROPOSAL_CHOSEN表示协议或密钥不匹配。尝试在 SonicWall 上启用“完美前向保密”并将其设置为“Group2”。