Strongswan 与 Cisco ASA 之间的站点到站点 VPN

Strongswan 与 Cisco ASA 之间的站点到站点 VPN

我正在尝试在 Cisco ASA 防火墙和 Strongswan 之间配置 VPN。从日志来看,第 1 阶段似乎已顺利完成,但该阶段出现以下错误:“收到 NO_PROPOSAL_CHOSEN 错误通知”。


Strongswan 配置

连接 finvpn
        自动=启动
        authby=秘密
        类型=隧道
        #压缩=是
        密钥交换 = ikev1
        左=SW 公网 IP
        leftid=SW公网IP
        leftsubnet=SW 私有 IP
        左防火墙=是
        右=ASA 公共 IP
        rightsubnet=ASA 私有IP
        rightid=ASA 公共 IP
        重新密钥=是
        #碎片=是
        #forceencaps=yes
        #dpdaction=清除
        #dpddelay=300 秒
        ikelifetime=28800秒
        ike=aes256-sha1-modp1536
        esp=aes256-sha1!
        寿命=3600s

第 2 阶段的 ASA 配置

加密 ipsec 变换集 SET_NAME esp-aes-256 esp-sha-hmac
加密映射 CRYPTO_map 15 匹配地址 CRYPTONAME
加密映射 CRYPTO_map 15 设置对等 StrongswanIP
加密映射 CRYPTO_map 15 设置变换集 SET_NAME
加密映射 CRYPTO_map 15 设置安全关联生存期 秒 3600

Strongswan 上的日志

启动主模式 IKE_SA connid[2] 到 CiscoIP
生成 ID_PROT 请求 0 [ SA VVVVVV ]
发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (256 字节)
接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (124 字节)
已解析 ID_PROT 响应 0 [ SA VV ]
收到了 draft-ietf-ipsec-nat-t-ike-02\n 供应商 ID
收到 FRAGMENTATION 供应商 ID
生成 ID_PROT 请求 0 [ KE 无 NAT-D NAT-D ]
发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (244 字节)
接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (304 字节)
解析 ID_PROT 响应 0 [ KE 无 VVVV NAT-D NAT-D ]
收到 Cisco Unity 供应商 ID
收到 XAuth 供应商 ID
收到未知供应商 ID:c1:9b:d6:29:0a:e0:8d:c7:c2:73:f2:49:6a:d6:e5:f1
收到未知供应商 ID:1f:07:f7:0e:aa:65:14:d3:b0:fa:96:54:2a:50:01:00
生成 ID_PROT 请求 0 [ ID HASH N(INITIAL_CONTACT) ]
发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (100 字节)
接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (84 字节)
解析 ID_PROT 响应 0 [ ID HASH V ]
收到的 DPD 供应商 ID
StrongswanIP[StrongswanIP]...CiscoIP[CiscoIP] 之间建立了 IKE_SA connid[2]
计划在 28213 秒内重新进行身份验证
IKE_SA 最大生存期 28753 秒
生成 QUICK_MODE 请求 4231731979 [ HASH SA 无 ID ID ]
发送数据包:从 StrongswanIP[500] 到 CiscoIP[500] (196 字节)
接收数据包:从 CiscoIP[500] 到 StrongswanIP[500] (84 字节)
已解析 INFORMATIONAL_V1 请求 3001395495 [ HASH N(NO_PROP) ]
收到NO_PROPOSAL_CHOSEN错误通知
建立连接‘connid’失败

任何帮助,将不胜感激。

相关内容