Site-to-Site-VPN zwischen CISCO 2921 und Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN

tag-icon tag-icon cisco sonicwall site-to-site-vpn
Site-to-Site-VPN zwischen CISCO 2921 und Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN

Ich habeCISCO 2921UndSonicwall NSA 3600. Ich versuche, ein Site-to-Site-VPN einzurichten. Ich erhalte:

Received notify. NO_PROPOSAL_CHOSEN

in Sonicwall-Protokollen und das VPN ist nicht eingerichtet.

Es sieht so aus, als ob Phase 1 in Ordnung ist, denn ich erhalte Folgendes:

Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500  CISCO_IP, 500 VPN Policy: test

in den Sonicwall-Protokollen direkt vor der Meldung NO_PROPOSAL_CHOSEN.

Ich habe kontrolliert:

  • Authentifizierungs-/Autorisierungsalgorithmen auf beiden Seiten und sie stimmen überein (DES/SHA1)
  • Auf beiden Seiten der Verbindung sind die richtigen Subnetze konfiguriert (172.16.0.0 auf der Sonicwall-Seite und 172.19.0.0 auf der Cisco-Seite).

Beidedebuggen Krypto isakmpUndDebuggen von Krypto-IPSecbei Cisco bekomme ich keine Ausgabe.

Da die WAN-Schnittstelle als /28 eingerichtet ist, ist ein bisschen NAT eingerichtet, aber ich denke, das ist nicht relevant, also habe ich es aus dem folgenden CISCO-Konfigurationsbeispiel entfernt. Ich werde es auf Anfrage hinzufügen. Computer, die mit 172.19.0.0 verbunden sind, haben Internetzugang mit einer korrekten IP-Adresse, also denke ich, dass NAT irrelevant ist.

Kann mir bitte jemand dabei helfen? Möglicherweise fehlt mir eine Konfiguration oder ich habe einen dummen Fehler gemacht.

Relevante Cisco-Konfiguration:

// Phase 1
crypto isakmp policy 1
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP

//Phase 2
crypto ipsec security-association lifetime seconds 28800

crypto ipsec transform-set MYSET esp-des esp-sha-hmac 

crypto map MYMAP 1 ipsec-isakmp 
 set peer SONICWALL_IP
 set transform-set MYSET 
 match address 166

// WAN interface
interface GigabitEthernet0/0
 description WAN
 ip address CISCO_PUBLIC_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MYMAP

//LAN interface
interface GigabitEthernet0/1/3
 switchport access vlan 72
 no ip address

interface Vlan72
 ip address 172.19.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in

access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Sonicwall ist wie folgt eingerichtet:

Bildbeschreibung hier eingeben Bildbeschreibung hier eingeben

und die Registerkarte „Netzwerk“ -> „Remote-Netzwerke“ -> „Zielnetzwerk aus Liste auswählen“ ist wie folgt eingerichtet:

Bildbeschreibung hier eingeben

Antwort1

Ich hatte ein ähnliches Problem und dieses Dokument hat mir geholfen ...

VPN: Das Protokoll zeigt „Benachrichtigung empfangen: Kein Vorschlag ausgewählt“ (SW3902) – Betroffene SonicWALL Security Appliance

Ein weiterer Hinweis istÜberprüfen Sie die Passphrase- und stellen Sie sicher, dass das gemeinsame Geheimnis mindestens 6 Zeichen lang ist.

Antwort2

NO_PROPOSAL_CHOSENbedeutet, dass das Protokoll oder der Schlüssel nicht übereinstimmen. Versuchen Sie, „Perfect Forward Secrecy“ zu aktivieren und es auf Ihrer SonicWall auf „Group2“ einzustellen.

verwandte Informationen