Windows XP 원격 클라이언트(동적 IP 주소)가 L2TP VPN을 사용하여 직장 네트워크에 연결할 수 있도록 ZyWALL USG 200 방화벽을 구성하려고 합니다. 인증서를 사용하고 싶지 않습니다. 공통 사용자 이름과 비밀번호이면 충분합니다(인증서 관리가 너무 많을 것입니다).
저는 IPsec은 물론 L2TP 전문가도 아니므로 사소한 질문을 하거나 노골적인 실수를 해도 양해해 주시기 바랍니다.
USG200에서 L2TP VPN이어야 한다고 생각하는 것을 구성했지만 WinXP 클라이언트에서 연결하려고 하면 로그에 다음 오류가 표시됩니다.
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(USG200은 가장 최근의 로그 항목을 먼저 표시합니다.) Google 검색에서 "선택된 제안 없음" 오류는 IKE 1단계 제안 구성에서 클라이언트와 서버 간의 불일치로 인해 발생할 수 있다는 것을 알았습니다. 에서이 문서다음 USG200 구성이 작동해야 한다고 가정하지만 작동하지 않습니다.
분명히 VPN 연결과 L2TP VPN도 구성했지만 이러한 구성은 적어도 당분간은 관련이 없는 것 같습니다. 불행히도 왜 작동하지 않는지, 방화벽 때문인지 클라이언트 때문인지 알 수 없습니다. Windows에서 문제를 진단하기 위한 관련 로그를 가져올 수 없는 것 같아서 연결을 구성한 방법은 다음과 같습니다.
내가 뭘 잘못하고 있는지 이해하도록 도와 주시겠습니까?
답변1
문제는 IKE 1단계 구성이 아니라 연결 설정의 로컬 정책입니다(내 질문에는 표시되지 않음). 제 경우에는 로컬 정책이 공용 인터페이스 IP여야 하는데 그렇지 않았습니다. 로그 메시지는 오해의 소지가 있지만 USG는 실제로 해당 문제에 대해 경고했습니다. 그러나 저는 경고 수정이 두 번째 단계이고 IKE 1단계 문제가 가장 먼저 해결되어야 한다고 결정했습니다.
이 페이지이해하는데 도움이 되었습니다.