Windows間の証明書なしのL2TPVPN XPとZyWALLUSG 200
Windows XPリモートクライアント(動的IPアドレス)がL2TPVPNを使用して職場のネットワークに接続できるようにZyWALLUSG200ファイアウォールを構成しようとしています。証明書を使用したくない、一般的なユーザー名とパスワードで十分です(そして証明書の管理が多すぎます)。
私はL2TPの専門家ではなく、IPsecは言うまでもありません。些細な質問をしたり、露骨な間違いをしたりした場合は、ご容赦ください。
USG200でL2TPVPNと思われるものを構成しましたが、WinXPクライアントから接続しようとすると、ログに次のエラーが表示されます。
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(USG200は最新のログエントリを最初に表示することに注意してください)。 Google検索から、「プロポーザルが選択されていません」というエラーは、IKEフェーズ1プロポーザル構成のクライアントとサーバーの不一致が原因である可能性があることがわかりました。 From このドキュメント 次のUSG200構成が機能するはずですが、機能しません。
私は明らかにVPN接続とL2TPVPNも構成しましたが、少なくとも当面は、これらの構成は関係ないと思います。残念ながら、なぜそれが機能していないのか、それがファイアウォールなのかクライアントなのかわかりません。 Windowsから問題を診断するための関連ログを取得できないようです。そのため、接続を構成した方法は次のとおりです。
私が間違っていることを理解するのを手伝ってくれませんか?
問題はIKEフェーズ1構成ではなく、接続設定のローカルポリシーです(私の質問には表示されていません)。私の場合、ローカルポリシーはパブリックインターフェイスIPである必要がありますが、そうではありませんでした。ログメッセージは誤解を招く可能性がありますが、USGは実際にその問題について私に警告していましたが、警告を修正することが2番目のステップであり、IKEフェーズ1の問題が最初に解決されることにしました。
このページ 理解に役立ちました。