Site-to-Site VPN между CISCO 2921 и Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN

tag-icon tag-icon cisco sonicwall site-to-site-vpn
Site-to-Site VPN между CISCO 2921 и Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN

У меня естьСИСКО 2921иSonicwall АНБ 3600. Я пытаюсь настроить Site to site VPN. Я получаю:

Received notify. NO_PROPOSAL_CHOSEN

в журналах Sonicwall и VPN не настроен.

Похоже, что фаза 1 прошла нормально, так как я получаю:

Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500  CISCO_IP, 500 VPN Policy: test

в журналах sonicwall непосредственно перед сообщением NO_PROPOSAL_CHOSEN.

Я проверил:

  • Алгоритмы аутентификации/авторизации с обеих сторон совпадают (DES/SHA1)
  • Правильные подсети настроены на обеих сторонах соединения (172.16.0.0 на стороне Sonicwall и 172.19.0.0 на стороне Cisco)

Обаотладка криптографии isakmpиотладка крипто ipsecна cisco не выдает мне никаких выходных данных.

Поскольку интерфейс WAN настроен как /28, есть небольшая настройка nat-ing, но я думаю, что это не имеет значения, поэтому я удалил ее из приведенного ниже примера конфигурации CISCO, я добавлю ее, когда меня попросят. Компьютеры, подключенные к 172.19.0.0, имеют доступ в Интернет с правильным IP-адресом, поэтому я думаю, что nat-ing не имеет значения.

Может ли кто-нибудь мне помочь с этим? Возможно, я упустил какую-то настройку или совершил глупую ошибку.

Соответствующая конфигурация cisco:

// Phase 1
crypto isakmp policy 1
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP

//Phase 2
crypto ipsec security-association lifetime seconds 28800

crypto ipsec transform-set MYSET esp-des esp-sha-hmac 

crypto map MYMAP 1 ipsec-isakmp 
 set peer SONICWALL_IP
 set transform-set MYSET 
 match address 166

// WAN interface
interface GigabitEthernet0/0
 description WAN
 ip address CISCO_PUBLIC_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MYMAP

//LAN interface
interface GigabitEthernet0/1/3
 switchport access vlan 72
 no ip address

interface Vlan72
 ip address 172.19.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in

access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Настройка Sonicwallis:

введите описание изображения здесь введите описание изображения здесь

а вкладка «Сеть» -> «Удаленные сети» -> «Выбрать целевую сеть из списка» настроена следующим образом:

введите описание изображения здесь

решение1

У меня была похожая проблема, и этот документ мне помог...

VPN: в журнале отображается сообщение «Получено уведомление: предложение не выбрано» (SW3902) — затронуто устройство безопасности SonicWALL

Еще один совет:проверьте парольную фразу- и убедитесь, что общий секретный ключ имеет длину не менее 6 символов.

решение2

NO_PROPOSAL_CHOSENозначает несоответствие протокола или ключа. Попробуйте включить «Perfect forward secrecy» и установить его на «Group2» на вашем SonicWall.

Связанный контент