將 Windows 7 連接到 ASA5505 VPN 時的階段 2 不匹配
我正在嘗試在我們的網路上安裝一個新的 ASA5505(以前我們使用 IPCop),但在讓 VPN 正常工作時遇到了一些問題。我在 ASA (8.3) 上的 ASDM (6.3) 中執行了 IPSec VPN 嚮導,並選擇了第二個選項,L2TP over IPSec。在配置文件中同時啟用 L2TP/IPSec 和 IPSec 後,我可以連接以下客戶端:
- OSX 內置 VPN 客戶端
- OSX Cisco VPN 客戶端
- 蘋果手機
- iPad
我正在嘗試讓我們的 Windows 客戶端進行連接,但不幸的是,我們無法選擇使用 Cisco VPN 客戶端,因為我們大多數人都執行 Windows 7 64 位,但 ASA 附帶了 5.0.06 版的 VPN 客戶端,但 5.0.07 是引入 64 位支持的版本。
我正在嘗試使用 Windows 7 中的內置 L2TP/IPSec 客戶端連接到 VPN,但這是我在連接時在監視器中看到的事件鏈(設置為調試級別):
Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500) Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status: Remote end IS behind a NAT device This end is NOT behind a NAT device AAA retrieved default group policy (vpn) for user = DefaultRAGroup Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None) Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable! Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)! Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match! Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch(IP地址替換為xxxx)
此時,Windows 客戶端只是坐坐,最終超時。
有誰知道我可能需要更改哪些內容才能使其適用於已經工作的客戶端和Windows?
我對 Cisco 設備的經驗還不是很豐富,所以如果我應該包含任何調試或其他日誌資訊,我深表歉意。隨意問,我會修改我的問題。
首先仔細檢查您的設置。
所有 IPSec SA 提議都被認為是不可接受的!
…
會話被拆除。原因:第 2 階段不匹配
這些很可能意味著設置確實存在不匹配。不幸的是,我沒有使用過 Windows 的內置客戶端,也不知道有任何兼容性問題。
其次,如果您無法從您的零售商 cisco.com 等處獲得最新版本的 Cisco VPN 客戶端,那麼我建議您試試這個客戶端http://www.shrew.net/software。這是我們在思科修復其客戶端的 64 位問題之前使用的。