Cisco 2921とSonicwall間のサイト間VPN NSA 3600:NO_PROPOSAL_CHOSEN
Cisco 2921とSonicwall NSA 36を使用しています。サイト間VPNをセットアップしようとしています。
Received notify. NO_PROPOSAL_CHOSEN
sonicwallログで、VPNが設定されていません。
私が得ているように、フェーズ1はOKのようです。
Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500 Cisco_IP, 500 VPN Policy: test
sonicwallログのNO_PROPOSAL_CHOSENメッセージの直前。
確認しました:
- 両側の認証/承認アルゴリズムが一致している(DES/SHA1)
- 接続の両側で正しいサブネットが構成されている(Sonicwall側では172.16.0.0、Cisco側では172.19.0.0)
シスコのdebug crypto isakmpとdebug crypto ipsecのどちらでも、出力はありません。
WANインターフェースは/ 28としてセットアップされているため、NAT設定が少しありますが、関係がないと思うので、以下のCisco構成例から削除しました。 172.19.0.0に接続されているコンピュータは正しいIPアドレスでインターネットにアクセスできるので、NAT処理は無関係だと思います。
誰かが私にこれを手伝ってくれませんか?いくつかの設定が不足している可能性があります、または私は愚かな間違いをしました。
関連するシスコの設定:
// Phase 1
crypto isakmp policy 1
authentication pre-share
group 2
lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP
//Phase 2
crypto ipsec security-association lifetime seconds 28800
crypto ipsec transform-set MYSET esp-des esp-sha-hmac
crypto map MYMAP 1 ipsec-isakmp
set peer SONICWALL_IP
set transform-set MYSET
match address 166
// WAN interface
interface GigabitEthernet0/0
description WAN
ip address Cisco_PUBLIC_IP 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
crypto map MYMAP
//LAN interface
interface GigabitEthernet0/1/3
switchport access vlan 72
no ip address
interface Vlan72
ip address 172.19.0.1 255.255.0.0
ip nat inside
ip virtual-reassembly in
access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255
Sonicwallisのセットアップ:
[ネットワーク]タブ-> [リモートネットワーク]-> [リストから宛先ネットワークを選択]は、次のように設定されています。
私には同様の問題があり、このドキュメントは私を助けました...
VPN:ログに「受信した通知:提案が選択されていません」(SW3902)-影響を受けるSonicWALLセキュリティ装置
もう1つのヒントは、パスフレーズをチェックすることです-共有セキュリティ鍵の長さが6文字以上であることを確認してください。
NO_PROPOSAL_CHOSENは、プロトコルまたはキーの不一致を意味します。 「Perfect Forward Secrecy」を有効にして、SonicWallで「Group2」に設定してください。