“Todas as propostas IKE SA foram consideradas inaceitáveis!”, mas o que foi proposto?

3

Estou tentando fazer com que a VPN funcione entre vários dispositivos e um Cisco ASA 5520 executando o 7.2 (1). Ao tentar se conectar com um Mac executando o OX X 10.5.8, continuo recebendo este erro: No ASA diz:

Sep 16 13:44:02 [IKEv1 DEBUG]: Group = <redacted>, IP = <redacted>, All SA proposals found unacceptable
Sep 16 13:44:02 [IKEv1]: IP = <redacted>, All IKE SA proposals found unacceptable!

Como posso saber o que o Mac está pedindo que o ASA não forneça?

    
por longneck 16.09.2011 / 19:52

1 resposta

3

Não acredito que haja uma maneira de ver qual proposta um dispositivo de entrada tentou. Mesmo ' depurar isakmp 99 ' no ASA não revelará isso. No entanto, acredito que as configurações padrão de fase 1 para dispositivos Apple seriam 3DES / SHA-1 / DH2, portanto, em seu ASA você precisaria configurar algo semelhante a ...

crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400  

e você precisará ativar o nat-t se ainda não tiver:

crypto isakmp nat-traversal 3600

Este documento no site da Cisco abrange L2Tp sobre IPSEC e tem uma pequena seção sobre compatibilidade com iPhone e MAC OS X

    
por 19.09.2011 / 13:07