Estou tentando configurar um firewall ZyWALL USG 200 para permitir que os clientes remotos do Windows XP (endereço IP dinâmico) se conectem à rede do local de trabalho com uma VPN L2TP. Eu não quero usar certificados, um nome de usuário e senha comuns serão suficientes (e o gerenciamento de certificados seria muito).
Eu não sou especialista em L2TP, e muito menos IPsec, então, por favor, tenha paciência comigo se eu fizer perguntas triviais ou cometer erros flagrantes.
Eu configurei o que eu acho que deveria ser uma VPN L2TP no USG200, no entanto, recebo o seguinte erro em seu log quando tento conectar-me a partir do cliente WinXP:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(observe que o USG200 exibe as entradas de log mais recentes primeiro). Em uma pesquisa no Google, descobri que o erro "Nenhuma proposta escolhida" pode ser causado por uma incompatibilidade entre o cliente e o servidor na configuração da proposta da Fase 1 do IKE. De este documento , presumo que a seguinte configuração do USG200 deve funcionar, mas não funciona:
EuobviamenteconfigureiaconexãoVPNeaVPNL2TPtambém,masachoqueessasconfiguraçõesnãosãorelevantes,pelomenosnãoporenquanto.Infelizmente,nãoseidizerporquenãoestáfuncionandoouseéofirewallouoclienteaserculpado.ParecequenãoconsigoobternenhumregistrorelevanteparadiagnosticaroproblemanoWindows,entãoaquiestácomoeuconfigureiaconexão:
Por favor, você pode me ajudar a entender o que estou fazendo de errado?
O problema não é a configuração do IKE Phase 1, mas a Política Local nas configurações de conexão (não mostrada na minha pergunta). A política local deve ser o IP da interface pública no meu caso e não foi. A mensagem de log é enganosa, mas o USG estava realmente me avisando sobre esse problema, no entanto decidi consertar que o aviso era um segundo passo e que o problema IKE da Fase 1 era o primeiro a ser resolvido.
Esta página ajudou-me a compreender.
Tags windows-xp ipsec l2tp zywall