我正在尝试在 Cisco ASA 防火墙和 Strongswan 之间配置 VPN。从日志来看,第 1 阶段似乎已顺利完成,但该阶段出现以下错误:“收到 NO_PROPOSAL_CHOSEN 错误通知”。
Strongswan 配置
连接 finvpn 自动=启动 authby=秘密 类型=隧道 #压缩=是 密钥交换 = ikev1 左=SW 公网 IP leftid=SW公网IP leftsubnet=SW 私有 IP 左防火墙=是 右=ASA 公共 IP rightsubnet=ASA 私有IP rightid=ASA 公共 IP 重新密钥=是 #碎片=是 #forceencaps=yes #dpdaction=清除 #dpddelay=300 秒 ikelifetime=28800秒 ike=aes256-sha1-modp1536 esp=aes256-sha1! 寿命=3600s
第 2 阶段的 ASA 配置
加密 ipsec 变换集 SET_NAME esp-aes-256 esp-sha-hmac 加密映射 CRYPTO_map 15 匹配地址 CRYPTONAME 加密映射 CRYPTO_map 15 设置对等 StrongswanIP 加密映射 CRYPTO_map 15 设置变换集 SET_NAME 加密映射 CRYPTO_map 15 设置安全关联生存期 秒 3600
Strongswan 上的日志
启动主模式 IKE_SA connid[2] 到 CiscoIP 生成 ID_PROT 请求 0 [ SA VVVVVV ] 发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (256 字节) 接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (124 字节) 已解析 ID_PROT 响应 0 [ SA VV ] 收到了 draft-ietf-ipsec-nat-t-ike-02\n 供应商 ID 收到 FRAGMENTATION 供应商 ID 生成 ID_PROT 请求 0 [ KE 无 NAT-D NAT-D ] 发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (244 字节) 接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (304 字节) 解析 ID_PROT 响应 0 [ KE 无 VVVV NAT-D NAT-D ] 收到 Cisco Unity 供应商 ID 收到 XAuth 供应商 ID 收到未知供应商 ID:c1:9b:d6:29:0a:e0:8d:c7:c2:73:f2:49:6a:d6:e5:f1 收到未知供应商 ID:1f:07:f7:0e:aa:65:14:d3:b0:fa:96:54:2a:50:01:00 生成 ID_PROT 请求 0 [ ID HASH N(INITIAL_CONTACT) ] 发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (100 字节) 接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (84 字节) 解析 ID_PROT 响应 0 [ ID HASH V ] 收到的 DPD 供应商 ID StrongswanIP[StrongswanIP]...CiscoIP[CiscoIP] 之间建立了 IKE_SA connid[2] 计划在 28213 秒内重新进行身份验证 IKE_SA 最大生存期 28753 秒 生成 QUICK_MODE 请求 4231731979 [ HASH SA 无 ID ID ] 发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (196 字节) 接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (84 字节) 已解析 INFORMATIONAL_V1 请求 3001395495 [ HASH N(NO_PROP) ] 收到NO_PROPOSAL_CHOSEN错误通知 建立连接‘connid’失败
任何帮助,将不胜感激。