Estou tentando configurar um firewall ZyWALL USG 200 para permitir que clientes remotos do Windows XP (endereço IP dinâmico) se conectem à rede do local de trabalho com uma VPN L2TP. Não quero usar certificados, um nome de usuário e senha comuns serão suficientes (e o gerenciamento de certificados seria demais).
Não sou especialista em L2TP, muito menos em IPsec, portanto, tenha paciência se eu fizer perguntas triviais ou cometer erros flagrantes.
Configurei o que acho que deveria ser uma VPN L2TP no USG200, porém recebo o seguinte erro em seu log quando tento conectar do cliente WinXP:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(observe que o USG200 mostra as entradas de registro mais recentes primeiro). Em uma pesquisa no Google, descobri que o erro "Nenhuma proposta escolhida" pode ser causado por uma incompatibilidade entre o cliente e o servidor na configuração da proposta IKE Fase 1. A partir deste documento , presumo que a seguinte configuração do USG200 deva funcionar, mas não:
Obviamente, configurei a conexão VPN e a VPN L2TP também, mas acho que essas configurações não são relevantes, pelo menos não por enquanto. Infelizmente, não sei dizer por que não está funcionando ou se é o firewall ou o cliente o culpado. Não consigo obter nenhum log relevante para diagnosticar o problema do Windows, então aqui está como configurei a conexão:
Você pode me ajudar a entender o que estou fazendo de errado?
O problema não é a configuração da Fase 1 do IKE, mas a Política Local nas configurações de conexão (não mostrada na minha pergunta). A política local deve ser o IP da interface pública no meu caso, e não era. A mensagem de log é enganosa, mas o USG estava realmente me alertando sobre esse problema, no entanto, decidi que consertar esse aviso era uma segunda etapa e o problema da Fase 1 do IKE foi o primeiro a ser resolvido.
Esta página me ajudou a entender.