主页 / server / 问题 / 115163
Accepted
elint
Asked: 2010-02-22 10:53:01 +0800 CST

Cisco PIX 到 Juniper Netscreen 基于策略的 VPN 未能通过第 2 阶段提案

  • 772

我已按照 Cisco 的 [netscreen to PIX VPN] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445的指示在 netscreen 设备和 Cisco PIX 之间配置 VPN 。 shtml文章。

唯一的区别是我运行的是 PIX 6.3(5) 和 Juniper Netscreen 6.1.0r2.0(防火墙+VPN)。我完全遵循了这两种配置,当我尝试连接时,Juniper 返回:

2010-02-21 12:54:28  information IKE: Removed Phase 2 SAs after receiving a notification message. 
2010-02-21 12:54:28  information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 
2010-02-21 12:54:28  information IKE pix_public_IP Phase 2: Initiated negotiations.

在 Netscreen 上,我使用 DH Group#2、3DES-CBC 和 SHA-1 创建了名为 ToCorpOffice 的第 2 阶段提案,在配置 AutoKey IKE 时,我选择了 ToCorpOffice 并删除了所有其他转换。我相信我已经在 PIX 上配置了相同的内容:

sysopt connection permit-ipsec
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address nonat
crypto map mymap 10 set pfs group2
crypto map mymap 10 set peer netscreen_public_ip
crypto map mymap 10 set transform-set mytrans
crypto map mymap interface outside

保存并重新启动,所以这里是密码图信息:PIX-FW1# 显示密码图

Crypto Map: "mymap" interfaces: { outside }

Crypto Map "mymap" 10 ipsec-isakmp
    Peer = netscreen_public_ip
    access-list nonat; 1 elements
    access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0)
    Current peer: netscreen_public_ip
    Security association lifetime: 4608000 kilobytes/28800 seconds
    PFS (Y/N): Y
    DH group:  group2
    Transform sets={ mytrans, }
PIX-FW1#

知道为什么我会收到 NO-PROPOSAL-CHOSEN 错误吗?

vpn cisco-pix cisco juniper netscreen

6 个回答

  1. 在代理 ID 中添加本地和远程子网 - 这将使其正常工作

    • 1
  2. Best Answer

    大多数时候我都看到过这个问题,这是由于加密域(代理 ID)不匹配造成的。因为您在瞻博网络端使用基于策略的 VPN 而不是基于路由的 VPN,所以您将看到瞻博网络端尝试设置与策略匹配的 IPSec SA。例如,如果您的瞻博网络策略如下所示:

    set policy id 50 from "Untrust" to "Trust" "ext-192.168.1.50" "int-192.168.2.50" "HTTP"...

    基于策略的 VPN 配置将期望 ASA 尝试建立从 192.168.1.50 到 192.168.2.50 的主机到主机 IPSec SA,而 ASA 尝试建立从 192.168.2.0/24 开始的隧道到 192.168.1.0/24。

    我无法确定您的配置是否属于这种情况,因为您没有从瞻博网络方面发布策略,但这是我最常看到的问题,其症状与您的相似。最简单的解决方案是修改 ASA 上的访问列表以匹配瞻博网络防火墙上的策略(需要注意的是它仍然需要“允许 ip”而不是指定 L4+ 协议,因为您只指定了代理ID)。

    • 1

  3. 我的供应商希望看到我的所有流量都来自一个 IP 地址。我设置了一个基于路由的策略,使用 Tunnel.1 和 Loop.1,使用 /26 创建了循环,出站 NAT IP 在范围内(他们指定了一个他们想要查看我的流量的地址,它是广播 IP对于所有范围,直到我将其设为 /26)。我在隧道接口上创建了 DIP(他们指定了 1 个 IP,因此 DIP 为 172.28.1.95 到 .95),并创建了策略以将他们的 Cisco Crypto_Map 与我的出站 DIP 的源转换相匹配。

    棘手的部分是我必须创建单独的第二阶段(IKE AutoKey VPN)并使用代理 ID 来匹配他们的 crypto_map。当我制作第一个第二阶段时,那个成功了。一旦我做了不止一个,它就失败了。

    要修复它,我必须将 GW 地址寻址到路由到我要连接的地址(而不是只说下去 tunnel.1 接口,必须这样做加上一个 GW IP),然后在 tunnel.1 接口上不得不做下一跳隧道绑定。我认为在您创建第二个阶段 II 并将其绑定到隧道接口之前,您甚至不会将此视为一种选择,因为如果您只有一个隧道,则根本不需要它。因此,对于加密域(crypto_map)中的每个条目(以及为此我必须设置的每个阶段 II),我创建了一个 NHTB 条目,该条目具有远程端 IP 的 IP(再次来自它们的 crypto_map),其中 VPN 条目是适当的第二阶段 VPN。

    • 1

  4. 不仅汤姆奥康纳的回答没有帮助,而且是 FUD。Juniper 设备就像任何其他设备一样,如果您要设置正确实施 IPSec 规范的设备,唯一的困难来自不知道如何在该设备上执行此操作。

    试试 Juniper KB 上有关 VPN 故障排除的文章。这可能更有帮助。

    http://kb.juniper.net/index?page=content&id=KB9221

    您的 SSG 配置是什么样的?

    • 0

  5. 在我的 Netscreen 有错误的本地 IP 地址/网络掩码组合后,我收到了这个错误。

    • 0

  6. 众所周知,瞻博网络 VPN很难与其他设备通信。IME,他们只有在与其他瞻博网络设备交谈时才会真正开心。

    我怀疑这可能是类似的东西。

    • -2

相关问题