我有思科2921和Sonicwall NSA 3600。我正在嘗試設定站點到站點 VPN。我正進入(狀態:
Received notify. NO_PROPOSAL_CHOSEN
在 Sonicwall 日誌中,VPN 未設定。
看起來第一階段沒問題,因為我得到了:
Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500 CISCO_IP, 500 VPN Policy: test
在 sonicwall 日誌中 NO_PROPOSAL_CHOSEN 訊息之前。
我檢查過:
- 雙方的認證/授權演算法及其匹配(DES/SHA1)
- 連接兩端均配置了正確的子網路(Sonicwall 端為 172.16.0.0,Cisco 端為 172.19.0.0)
兩個都調試加密 isakmp和調試加密 ipsec在思科上沒有給我任何輸出。
因為 WAN 介面設定為 /28,所以設定了一些 nat-ing,但我認為它不相關,因此我從下面的 CISCO 配置範例中刪除了它,我將根據要求添加它。連接到 172.19.0.0 的電腦可以使用正確的 IP 位址存取互聯網,因此我認為 nat-ing 是無關緊要的。
有人可以幫我解決這個問題嗎?
相關思科設定:
// Phase 1
crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP
//Phase 2
crypto ipsec security-association lifetime seconds 28800
crypto ipsec transform-set MYSET esp-des esp-sha-hmac
crypto map MYMAP 1 ipsec-isakmp
set peer SONICWALL_IP
set transform-set MYSET
match address 166
// WAN interface
interface GigabitEthernet0/0
description WAN
ip address CISCO_PUBLIC_IP 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map MYMAP
//LAN interface
interface GigabitEthernet0/1/3
switchport access vlan 72
no ip address
interface Vlan72
ip address 172.19.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly in
access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Sonicwallis 設定為:
網路標籤 -> 遠端網路 -> 從清單中選擇目標網路設定為:
答案1
我遇到了類似的問題,這份文件幫助了我......
VPN:日誌顯示「已收到通知:未選擇建議」(SW3902) - 受影響的 SonicWALL 安全設備
另一個提示是檢查密碼- 並確保共用機密的最小長度為 6 個字元。
答案2
NO_PROPOSAL_CHOSEN表示協定或密鑰不符。嘗試在 SonicWall 上啟用「完美前向保密」並將其設為「Group2」。