ZyWALL USG 200 ファイアウォールを設定して、Windows XP リモート クライアント (動的 IP アドレス) が L2TP VPN を使用して職場のネットワークに接続できるようにしたいと考えています。証明書は使用したくないので、共通のユーザー名とパスワードで十分です (証明書の管理が面倒です)。
私は L2TP の専門家ではないし、ましてや IPsec の専門家でもありませんので、些細な質問をしたり、明らかな間違いを犯したりしてもご容赦ください。
USG200 で L2TP VPN を構成したはずですが、WinXP クライアントから接続しようとすると、ログに次のエラーが表示されます。
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(USG200 では最新のログエントリが最初に表示されることに注意してください)。Google 検索で、「提案が選択されていません」というエラーは、IKE フェーズ 1 提案構成でクライアントとサーバーが一致していないために発生する可能性があることがわかりました。このドキュメント次の USG200 構成が機能するはずだと想定していますが、機能しません。
もちろん、VPN 接続と L2TP VPN も構成しましたが、少なくとも現時点では、これらの構成は関係ないと思います。残念ながら、なぜ機能しないのか、ファイアウォールとクライアントのどちらに問題があるのかはわかりません。Windows から問題を診断するための関連ログを取得できないようですので、接続の構成方法を以下に示します。
私が何を間違っているのか理解するのを手伝ってもらえますか?
答え1
問題は IKE フェーズ 1 の構成ではなく、接続設定のローカル ポリシーです (私の質問には表示されていません)。私の場合、ローカル ポリシーはパブリック インターフェイス IP である必要がありますが、そうではありませんでした。ログ メッセージは誤解を招くものですが、USG は実際にその問題について警告していました。ただし、その警告を修正するのは 2 番目のステップであり、IKE フェーズ 1 の問題を最初に解決することにしました。
このページ理解するのを助けてくれました。