web-dev-qa-db-ja.com

「すべてのIKE SA提案は受け入れられないことがわかりました!」が、何が提案されましたか?

さまざまなデバイスと7.2(1)を実行しているCisco ASA5520の間でVPNを機能させようとしています。 OX X 10.5.8を実行しているMacに接続しようとすると、次のエラーが発生し続けます。ASAでは次のように表示されます。

Sep 16 13:44:02 [IKEv1 DEBUG]: Group = <redacted>, IP = <redacted>, All SA proposals found unacceptable
Sep 16 13:44:02 [IKEv1]: IP = <redacted>, All IKE SA proposals found unacceptable!

MacがASAが提供しないものを要求していることをどのように知ることができますか?

3
longneck

着信デバイスがどのような提案を試みたかを確認する方法はないと思います。 ASAの「debug isakmp 99」でさえ、これを明らかにしません。ただし、Appleデバイスのデフォルトのフェーズ1設定は3DES/SHA-1/DH2になると思います。そのため、ASAでは次のような設定が必要になります...

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400  

まだ有効にしていない場合は、nat-tを有効にする必要があります。

crypto isakmp nat-traversal 3600

This Cisco Webサイトのドキュメントは、L2Tp over IPSECをカバーし、iPhoneとMAC OSXの互換性に関する小さなセクションがあります

3
paulos