Ich versuche, eine ZyWALL USG 200-Firewall so zu konfigurieren, dass Windows XP-Remoteclients (dynamische IP-Adresse) über ein L2TP-VPN eine Verbindung zum Arbeitsplatznetzwerk herstellen können. Ich möchte keine Zertifikate verwenden, ein allgemeiner Benutzername und ein Kennwort reichen aus (und die Zertifikatsverwaltung wäre zu aufwändig).
Ich bin kein L2TP-Experte, geschweige denn ein IPsec-Experte. Bitte haben Sie also Geduld, wenn ich triviale Fragen stelle oder offensichtliche Fehler mache.
Ich habe auf dem USG200 etwas konfiguriert, das meiner Meinung nach ein L2TP-VPN sein sollte. Allerdings erhalte ich beim Verbindungsversuch vom WinXP-Client aus die folgende Fehlermeldung im Protokoll:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(bitte beachten Sie, dass das USG200 die aktuellsten Protokolleinträge zuerst anzeigt). Bei einer Google-Suche habe ich herausgefunden, dass der Fehler „Kein Vorschlag ausgewählt“ möglicherweise durch eine Nichtübereinstimmung zwischen Client und Server in der IKE Phase 1-Vorschlagskonfiguration verursacht wird. Vondieses DokumentIch gehe davon aus, dass die folgende USG200-Konfiguration funktionieren sollte, aber das tut sie nicht:
Ich habe natürlich auch die VPN-Verbindung und das L2TP-VPN konfiguriert, aber ich vermute, dass diese Konfigurationen nicht relevant sind, zumindest nicht vorläufig. Leider kann ich nicht sagen, warum es nicht funktioniert oder ob die Firewall oder der Client schuld ist. Ich kann anscheinend kein relevantes Protokoll abrufen, um das Problem von Windows zu diagnostizieren, also hier meine Konfiguration der Verbindung:
Können Sie mir bitte helfen zu verstehen, was ich falsch mache?
Antwort1
Das Problem liegt nicht an der IKE Phase 1-Konfiguration, sondern an der lokalen Richtlinie in den Verbindungseinstellungen (in meiner Frage nicht angezeigt). Die lokale Richtlinie muss in meinem Fall die öffentliche Schnittstellen-IP sein, und das war sie nicht. Die Protokollnachricht ist irreführend, aber die USG hat mich tatsächlich vor diesem Problem gewarnt. Ich habe jedoch entschieden, dass das Beheben dieser Warnung ein zweiter Schritt ist und das IKE Phase 1-Problem als erstes gelöst werden muss.
Diese Seitehat mir geholfen, es zu verstehen.