我正在尝试配置 ZyWALL USG 200 防火墙,让 Windows XP 远程客户端(动态 IP 地址)通过 L2TP VPN 连接到工作场所网络。我不想使用证书,一个通用的用户名和密码就足够了(证书管理太多了)。
我不是 L2TP 专家,更不是 IPsec,所以如果我提出一些琐碎的问题或犯明显的错误,请多多包涵。
我已经在 USG200 上配置了我认为应该是 L2TP VPN,但是当我尝试从 WinXP 客户端连接时,我在其日志中收到以下错误:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(请注意,USG200 首先显示最近的日志条目)。从 Google 搜索中,我了解到错误“未选择提议”可能是由 IKE 阶段 1 提议配置中客户端和服务器之间的不匹配引起的。从本文档中,我假设以下 USG200 配置应该可以工作,但它不能:
我显然也配置了 VPN 连接和 L2TP VPN,但我想这些配置不相关,至少暂时不相关。不幸的是,我不知道为什么它不起作用,或者是防火墙还是客户端的问题。我似乎无法从 Windows 获取任何相关日志来诊断问题,因此这是我配置连接的方式:
你能帮我理解我做错了什么吗?
问题不是 IKE Phase 1 配置,而是连接设置中的本地策略(我的问题中没有显示)。就我而言,本地策略必须是公共接口 IP,但事实并非如此。日志消息具有误导性,但 USG 实际上是在警告我该问题,但我决定修复该警告是第二步,IKE 阶段 1 问题是第一个要解决的问题。
这个页面帮助我理解。