Vpn

Cisco PIX 到 Juniper Netscreen 基於策略的 VPN 未能通過第 2 階段提案

  • August 26, 2012

我已按照 Cisco 的指示在 netscreen 設備和 Cisco PIX 之間配置 VPN

$$ netscreen to PIX VPN $$http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445.shtml文章。 唯一的區別是我執行的是 PIX 6.3(5) 和 Juniper Netscreen 6.1.0r2.0(防火牆+VPN)。我完全遵循了這兩種配置,當我嘗試連接時,Juniper 返回:

2010-02-21 12:54:28  information IKE: Removed Phase 2 SAs after receiving a notification message. 
2010-02-21 12:54:28  information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 
2010-02-21 12:54:28  information IKE pix_public_IP Phase 2: Initiated negotiations. 

在 Netscreen 上,我使用 DH Group#2、3DES-CBC 和 SHA-1 創建了名為 ToCorpOffice 的第 2 階段提案,在配置 AutoKey IKE 時,我選擇了 ToCorpOffice 並刪除了所有其他轉換。我相信我已經在 PIX 上配置了相同的內容:

sysopt connection permit-ipsec
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address nonat
crypto map mymap 10 set pfs group2
crypto map mymap 10 set peer netscreen_public_ip
crypto map mymap 10 set transform-set mytrans
crypto map mymap interface outside

保存並重新啟動,所以這裡是密碼圖資訊:PIX-FW1# 顯示密碼圖

Crypto Map: "mymap" interfaces: { outside }

Crypto Map "mymap" 10 ipsec-isakmp
   Peer = netscreen_public_ip
   access-list nonat; 1 elements
   access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0)
   Current peer: netscreen_public_ip
   Security association lifetime: 4608000 kilobytes/28800 seconds
   PFS (Y/N): Y
   DH group:  group2
   Transform sets={ mytrans, }
PIX-FW1#

知道為什麼我會收到 NO-PROPOSAL-CHOSEN 錯誤嗎?

大多數時候我都看到過這個問題,這是由於加密域(代理 ID)不匹配造成的。因為您在瞻博網路端使用基於策略的 VPN 而不是基於路由的 VPN,所以您將看到瞻博網路端嘗試設置與策略匹配的 IPSec SA。例如,如果您的瞻博網路策略如下所示:

set policy id 50 from "Untrust" to "Trust" "ext-192.168.1.50" "int-192.168.2.50" "HTTP"...

基於策略的 VPN 配置將期望 ASA 嘗試建立從 192.168.1.50 到 192.168.2.50 的主機到主機 IPSec SA,而 ASA 嘗試建立從 192.168.2.0/24 開始的隧道到 192.168.1.0/24。

我不能確定您的配置是否屬於這種情況,因為您沒有從瞻博網路方面發布策略,但這是我最常看到的問題,其症狀與您的相似。最簡單的解決方案是修改 ASA 上的訪問列表以匹配瞻博網路防火牆上的策略(需要注意的是它仍然需要“允許 ip”而不是指定 L4+ 協議,因為您只指定了代理ID)。

引用自:https://serverfault.com/questions/115163