Cisco PIX 到 Juniper Netscreen 基於策略的 VPN 未能通過第 2 階段提案
我已按照 Cisco 的指示在 netscreen 設備和 Cisco PIX 之間配置 VPN
$$ netscreen to PIX VPN $$http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445.shtml文章。 唯一的區別是我執行的是 PIX 6.3(5) 和 Juniper Netscreen 6.1.0r2.0(防火牆+VPN)。我完全遵循了這兩種配置,當我嘗試連接時,Juniper 返回:
2010-02-21 12:54:28 information IKE: Removed Phase 2 SAs after receiving a notification message. 2010-02-21 12:54:28 information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 2010-02-21 12:54:28 information IKE pix_public_IP Phase 2: Initiated negotiations.
在 Netscreen 上,我使用 DH Group#2、3DES-CBC 和 SHA-1 創建了名為 ToCorpOffice 的第 2 階段提案,在配置 AutoKey IKE 時,我選擇了 ToCorpOffice 並刪除了所有其他轉換。我相信我已經在 PIX 上配置了相同的內容:
sysopt connection permit-ipsec crypto ipsec transform-set mytrans esp-3des esp-sha-hmac crypto map mymap 10 ipsec-isakmp crypto map mymap 10 match address nonat crypto map mymap 10 set pfs group2 crypto map mymap 10 set peer netscreen_public_ip crypto map mymap 10 set transform-set mytrans crypto map mymap interface outside
保存並重新啟動,所以這裡是密碼圖資訊:PIX-FW1# 顯示密碼圖
Crypto Map: "mymap" interfaces: { outside } Crypto Map "mymap" 10 ipsec-isakmp Peer = netscreen_public_ip access-list nonat; 1 elements access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0) Current peer: netscreen_public_ip Security association lifetime: 4608000 kilobytes/28800 seconds PFS (Y/N): Y DH group: group2 Transform sets={ mytrans, } PIX-FW1#
知道為什麼我會收到 NO-PROPOSAL-CHOSEN 錯誤嗎?
大多數時候我都看到過這個問題,這是由於加密域(代理 ID)不匹配造成的。因為您在瞻博網路端使用基於策略的 VPN 而不是基於路由的 VPN,所以您將看到瞻博網路端嘗試設置與策略匹配的 IPSec SA。例如,如果您的瞻博網路策略如下所示:
set policy id 50 from "Untrust" to "Trust" "ext-192.168.1.50" "int-192.168.2.50" "HTTP"...
基於策略的 VPN 配置將期望 ASA 嘗試建立從 192.168.1.50 到 192.168.2.50 的主機到主機 IPSec SA,而 ASA 嘗試建立從 192.168.2.0/24 開始的隧道到 192.168.1.0/24。
我不能確定您的配置是否屬於這種情況,因為您沒有從瞻博網路方面發布策略,但這是我最常看到的問題,其症狀與您的相似。最簡單的解決方案是修改 ASA 上的訪問列表以匹配瞻博網路防火牆上的策略(需要注意的是它仍然需要“允許 ip”而不是指定 L4+ 協議,因為您只指定了代理ID)。