VPN de site para site entre CISCO 2921 e Sonicwall NSA 3600: NO_PROPOSAL_CHOSEN

5

Eu tenho CISCO 2921 e Sonicwall NSA 3600 . Estou tentando configurar o site para o site VPN. Estou recebendo:

Received notify. NO_PROPOSAL_CHOSEN

nos registros do Sonicwall e a VPN não está configurada.

Parece que a fase 1 está boa como eu estou recebendo:

Info VPN IKE IKE Initiator: Start Quick Mode (Phase 2). SONIC_WALL_IP, 500  CISCO_IP, 500 VPN Policy: test   

nos registros do sonicwall antes da mensagem NO_PROPOSAL_CHOSEN.

Eu verifiquei:

  • Algoritmos de autenticação / autorização em ambos os lados e correspondem (DES / SHA1)
  • As sub-redes corretas estão configuradas nos dois lados da conexão (172.16.0.0 no lado Sonicwall e 172.19.0.0 no lado da Cisco)

Tanto o debug crypto isakmp como o debug crypto ipsec no cisco não me dão nenhuma saída.

Como a interface WAN é configurada como / 28 existe um pouco de nat-ing configurado, mas eu acho que não é relevante, então eu o removi do exemplo de configuração CISCO abaixo, vou adicioná-lo quando solicitado. Computadores conectados a 172.19.0.0 têm acesso à internet com um endereço IP correto, então eu acho que a nat-ing é irrelevante.

Alguém por favor pode me ajudar com isso? Talvez esteja faltando alguma configuração ou eu cometi um erro estúpido.

Configuração relevante do cisco:

// Phase 1
crypto isakmp policy 1
 authentication pre-share
 group 2
 lifetime 28800
crypto isakmp key SECRET address SONICWALL_IP

//Phase 2
crypto ipsec security-association lifetime seconds 28800

crypto ipsec transform-set MYSET esp-des esp-sha-hmac 

crypto map MYMAP 1 ipsec-isakmp 
 set peer SONICWALL_IP
 set transform-set MYSET 
 match address 166

// WAN interface
interface GigabitEthernet0/0
 description WAN
 ip address CISCO_PUBLIC_IP 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
 crypto map MYMAP

//LAN interface
interface GigabitEthernet0/1/3
 switchport access vlan 72
 no ip address

interface Vlan72
 ip address 172.19.0.1 255.255.0.0
 ip nat inside
 ip virtual-reassembly in

access-list 166 permit ip 172.19.0.0 0.0.255.255 172.16.0.0 0.0.255.255

Configuração do Sonicwallis como:

e o separador Rede - > Redes Remotas - > Escolha a rede de destino da lista configurada como:

    
por Kocur4d 14.05.2015 / 17:17

2 respostas

1

Eu tive um problema semelhante e este documento me ajudou ...

VPN: o registro mostra "Notificação recebida: Nenhuma proposta escolhida" (SW3902) - Dispositivo de segurança afetado da SonicWALL

Outra dica é verificar a frase secreta - e ter certeza de que a senha compartilhada tem um tamanho mínimo de 6 caracteres.

    
por 19.05.2015 / 21:24
0

NO_PROPOSAL_CHOSEN significa uma incompatibilidade de protocolo ou chave. Tente ativar "Perfect forward secrecy" e defina-o como "Group2" no seu SonicWall.

    
por 23.05.2015 / 13:15