Incompatibilidade de fase 2 ao conectar o Windows 7 à VPN ASA5505

Question

Incompatibilidade de fase 2 ao conectar o Windows 7 à VPN ASA5505

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)

1

Estou tentando criar um novo ASA5505 em nossa rede (anteriormente usamos o IPCop), e estou tendo um pequeno problema para fazer a VPN funcionar. Eu corri através do assistente de VPN IPSec em ASDM (6.3) no ASA (8.3) e selecionei a segunda opção, L2TP sobre IPSec. Depois de ativar o L2TP / IPSec e o IPSec no perfil, posso me conectar com os seguintes clientes:

Cliente VPN integrado ao OSX
Cliente Cisco VPN do OSX
iPhone
iPad

Estou tentando fazer com que nossos clientes Windows se conectem, mas usar o cliente Cisco VPN infelizmente não é uma opção para nós, já que a maioria de nós executa o Windows 7 de 64 bits, mas o ASA veio com a versão 5.0.06 do Cliente VPN, mas 5.0.07 era a versão em que o suporte de 64 bits foi introduzido.

Estou tentando usar o cliente L2TP / IPSec integrado no Windows 7 para conectar-me à VPN, mas aqui está a cadeia de eventos que vejo no monitor (definida como nível de Depuração) quando me conecto:

Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500)
Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status:     Remote end   IS   behind a NAT device     This   end is NOT behind a NAT device
AAA retrieved default group policy (vpn) for user = DefaultRAGroup
Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED
IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None)
Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable!
Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)!
Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch

(endereço IP substituído por x.x.x.x)

Neste ponto, o cliente Windows apenas senta e senta e, eventualmente, expira.

Alguém tem alguma idéia do que eu preciso mudar para que isso funcione para os clientes que já trabalham e Windows?

Ainda não tenho muita experiência com o equipamento da Cisco, por isso peço desculpas se houver alguma informação de depuração ou registro adicional que eu deveria ter incluído. Sinta-se à vontade para perguntar e eu vou corrigir a minha pergunta.

vpn cisco ipsec cisco-vpn cisco-asa

por Adam Robinson 08.04.2011 / 14:46

4 respostas

2

link

Another quick note: If you have multiple dynamic crypto maps, then you need to make your L2TP crypto map has a higher priority than the others. You will often see "All IPSec SA proposals found unacceptable" because of this problem.

por 30.08.2011 / 03:39

1

Pode ser que o Windows não esteja usando a mesma criptografia.

Você configurou a VPN com 3DES-MD5 ou 3DES-SHA?

Apenas certifique-se de que este é também o que o Windows está usando.

por 08.04.2011 / 15:10

0

tente o seguinte, ele me ajudou depois de horas de luta ...

crypto ipsec conjunto de transformação myset esp-3des esp-sha-hmac

ipsec crypto transform-set transporte no modo myset

crypto mapa dinâmico mydynamapp 20 conjunto myset transformar-set

política isakmp de criptografia 10 pré-compartilhamento de autenticação criptografia 3des hash sha grupo 2

Atributos ppp DefaultRAGroup do grupo de túneis nenhum rachadura de autenticação autenticação ms-chap-v2

nome de usuário cisco senha cisco chap nome de usuário cisco attributes

vpn-tunnel-protocol l2tp-ipsec

mantenha a outra configuração min, isso deve funcionar.

por 20.04.2011 / 14:56

Tags vpn cisco ipsec cisco-vpn cisco-asa

Atualização de DNS para nome de domínio recém-criado? Como configurar o registro PTR no Windows Server 2008?

score 2 · Accepted Answer

Primeiro, verifique suas configurações.

All IPSec SA proposals found unacceptable!

...

Session is being torn down. Reason: Phase 2 Mismatch

Isso provavelmente significa que há de fato uma incompatibilidade nas configurações. Infelizmente eu não usei o cliente interno do Windows e não tenho conhecimento de nenhum problema de compatibilidade.

Em segundo lugar, se você não conseguir a versão mais recente do cliente VPN da Cisco, ou seja, do seu revendedor, cisco.com etc, sugiro que tente este cliente link . É o que nós usamos quando a Cisco corrigiu o problema de 64 bits com seu cliente.