我正在尝试配置 ZyWALL USG 200 防火墙,让 Windows XP 远程客户端(动态 IP 地址)使用 L2TP VPN 连接到工作场所网络。我不想使用证书,通用用户名和密码就足够了(证书管理太麻烦了)。
我不是 L2TP 专家,更不用说 IPsec 了,所以如果我问了一些琐碎的问题或者犯了一些明显的错误,请多包涵。
我已经在 USG200 上配置了我认为应该是 L2TP VPN,但是当我尝试从 WinXP 客户端连接时,其日志中出现以下错误:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(请注意,USG200 首先显示最近的日志条目)。从 Google 搜索中,我了解到“未选择提案”错误可能是由于 IKE 第 1 阶段提案配置中的客户端和服务器不匹配造成的。从这个文件我假设以下 USG200 配置应该可以工作,但是却不行:
我当然也配置了 VPN 连接和 L2TP VPN,但我猜这些配置并不相关,至少目前不相关。不幸的是,我无法判断它为什么不起作用,或者这是防火墙还是客户端的问题。我似乎无法从 Windows 获得任何相关日志来诊断问题,所以这里是我配置连接的方式:
你能帮助我理解我做错什么吗?
答案1
问题不是 IKE 阶段 1 配置,而是连接设置中的本地策略(我的问题中未显示)。在我的案例中,本地策略必须是公共接口 IP,但事实并非如此。日志消息具有误导性,但 USG 实际上是在警告我该问题,但我决定修复该警告是第二步,而 IKE 阶段 1 问题是首先要解决的问题。
这一页帮助我理解。