Windows XP 和 ZyWALL USG 200 之间无需证书的 L2TP VPN

Windows XP 和 ZyWALL USG 200 之间无需证书的 L2TP VPN

我正在尝试配置 ZyWALL USG 200 防火墙,让 Windows XP 远程客户端(动态 IP 地址)使用 L2TP VPN 连接到工作场所网络。我不想使用证书,通用用户名和密码就足够了(证书管理太麻烦了)。

我不是 L2TP 专家,更不用说 IPsec 了,所以如果我问了一些琐碎的问题或者犯了一些明显的错误,请多包涵。

我已经在 USG200 上配置了我认为应该是 L2TP VPN,但是当我尝试从 WinXP 客户端连接时,其日志中出现以下错误:

1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG

(请注意,USG200 首先显示最近的日志条目)。从 Google 搜索中,我了解到“未选择提案”错误可能是由于 IKE 第 1 阶段提案配置中的客户端和服务器不匹配造成的。从这个文件我假设以下 USG200 配置应该可以工作,但是却不行:

USG200 VPN配置

我当然也配置了 VPN 连接和 L2TP VPN,但我猜这些配置并不相关,至少目前不相关。不幸的是,我无法判断它为什么不起作用,或者这是防火墙还是客户端的问题。我似乎无法从 Windows 获得任何相关日志来诊断问题,所以这里是我配置连接的方式:

在此处输入图片描述

你能帮助我理解我做错什么吗?

答案1

问题不是 IKE 阶段 1 配置,而是连接设置中的本地策略(我的问题中未显示)。在我的案例中,本地策略必须是公共接口 IP,但事实并非如此。日志消息具有误导性,但 USG 实际上是在警告我该问题,但我决定修复该警告是第二步,而 IKE 阶段 1 问题是首先要解决的问题。

这一页帮助我理解。

相关内容