web-dev-qa-db-ja.com

CiscoPIXからJuniperNetscreenへのポリシーベースVPNがフェーズ2の提案に失敗する

シスコの[netscreento PIX VPN] http://www.Cisco.com/en/US/tech/tk583/)の指示に従って、ネットスクリーンデバイスとCi​​scoPIX間のVPNを設定する手順に従いました。 tk372/technology_configuration_example09186a00801c4445.shtml 記事。

唯一の違いは、PIX 6.3(5)とJuniper Netscreen 6.1.0r2.0(Firewall + VPN)を実行していることです。私は両方の構成に正確に従いました。接続しようとすると、ジュニパーは次のように戻ります。

2010-02-21 12:54:28  information IKE: Removed Phase 2 SAs after receiving a notification message. 
2010-02-21 12:54:28  information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 
2010-02-21 12:54:28  information IKE pix_public_IP Phase 2: Initiated negotiations. 

Netscreenで、DH Group#2、3DES-CBC、およびSHA-1を使用してToCorpOfficeというフェーズ2プロポーザルを作成し、AutoKey IKEを構成するときに、ToCorpOfficeを選択し、他のすべての変換を削除しました。 PIXで同じように構成したと思います。

sysopt connection permit-ipsec
crypto ipsec transform-set mytrans esp-3des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address nonat
crypto map mymap 10 set pfs group2
crypto map mymap 10 set peer netscreen_public_ip
crypto map mymap 10 set transform-set mytrans
crypto map mymap interface outside

それを保存して再起動したので、暗号マップ情報は次のとおりです:PIX-FW1#show crypto map

Crypto Map: "mymap" interfaces: { outside }

Crypto Map "mymap" 10 ipsec-isakmp
    Peer = netscreen_public_ip
    access-list nonat; 1 elements
    access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0)
    Current peer: netscreen_public_ip
    Security association lifetime: 4608000 kilobytes/28800 seconds
    PFS (Y/N): Y
    DH group:  group2
    Transform sets={ mytrans, }
PIX-FW1#

NO-PROPOSAL-CHOSENエラーが発生する理由はありますか?

3
elint

ほとんどの場合、この問題は暗号化ドメイン(プロキシID)の不一致が原因で発生しました。ルートベースのVPNではなくジュニパー側でポリシーベースのVPNを使用しているため、ジュニパー側がポリシーに一致するIPSecSAをセットアップしようとしていることがわかります。たとえば、ジュニパーポリシーが次のようになっている場合:

set policy id 50 from "Untrust" to "Trust" "ext-192.168.1.50" "int-192.168.2.50" "HTTP"...

ポリシーベースのVPN設定では、ASAがホスト間IPSec SAを確立しようとしている間、192.168.1.50から192.168.2.50になります。 192.168.2.0/24から192.168.1.0/24に向かうトンネル。

ジュニパー側からポリシーを投稿していないため、これが構成に当てはまるかどうかはわかりませんが、これは、あなたと同様の症状で最も頻繁に見られる問題です。最も簡単な解決策は、ジュニパーファイアウォールのポリシーに一致するようにASAのアクセスリストを変更することです(プロキシのみを指定しているため、L4 +プロトコルを指定する代わりに「permitip」である必要があることに注意してください) ID)。

1
blueadept

私のベンダーは、1つのIPアドレスからのすべてのトラフィックを確認したいと考えていました。 Tunnel.1とLoop.1を使用してルートベースのポリシーを設定し、アウトバウンドNAT IPが範囲内にある(必要なアドレスを指定した)/ 26のループを作成しましたトラフィックを確認し、/ 26にするまではすべての範囲のブロードキャストIPでした)トンネルインターフェイスでDIPを作成し(1つのIPを指定したため、DIPは172.28.1.95〜.95でした)、ポリシーを作成しました彼らのCiscoCrypto_Mapを私のアウトバウンドDIPのソース変換と一致させるため。

トリッキーな部分は、個々のフェーズII(IKE AutoKey VPN)を作成し、プロキシIDを使用してcrypto_mapと一致させる必要があることでした。私が最初のフェーズIIを作成したとき、それは機能しました。 1つ以上作ったら失敗しました。

これを修正するには、GWアドレスを接続先のアドレスにアドレス指定する必要がありました(tunnel.1インターフェイスをダウンすると言うのではなく、それに加えてGW IPを実行する必要がありました)。次にtunnel.1インターフェイスでアドレス指定する必要がありました。ネクストホップトンネルバインディングを実行する必要がありました。 2番目のフェーズIIを作成し、それをトンネルインターフェイスにバインドするまで、これがオプションとして表示されることはないと思います。トンネルが1つしかない場合は、それが不要だからです。したがって、暗号化ドメイン(crypto_map)の各エントリ(さらに言えば、各フェーズIIを設定する必要がありました)に対して、リモート側IPのIP(ここでもcrypto_mapから)を持つNHTBエントリを作成し、VPNエントリが適切でしたフェーズIIVPN。

1
matt

プロキシIDにローカルサブネットとリモートサブネットを追加します-これで機能します

1
anon

トム・オコナーの答えが役に立たなかっただけでなく、それはFUDです。ジュニパーデバイスは他のデバイスとまったく同じです。IPSec仕様を適切に実装するデバイスをセットアップする場合、唯一の問題は、そのデバイスでの方法がわからないことです。

VPNのトラブルシューティングに関するJuniperKBの記事をお試しください。これはもっと役立つかもしれません。

http://kb.juniper.net/index?page=content&id=KB9221

SSG構成はどのように見えますか?

0
Null Route

NetscreenのローカルIPアドレス/ネットマスクの組み合わせが間違っていたため、このエラーが発生しました。

0
Zink