Falha na negociação do modo rápido - nenhuma política configurada - Windows 2008 R2?

1

Estou estabelecendo um túnel IPSEC do meu escritório para o Amazon Web Services VPC, usando a máquina Windows 2008 R2 como o "gateway do cliente". Configurei minha máquina usando este guia aqui .

No entanto, os túneis nunca se levantam. Eu me aprofundo com o suporte da AWS para descobrir que a fase 1 do IPSEC Tunnel, que é a associação IKE, está madura e se estabelece bem, mas a fase 2 ou o modo rápido falha com o seguinte erro:

quick mode negotiation failed - reason "no policy configured"

Eu verifiquei este guia oficial de soluções VPN IPSEC da Microsoft que não se encaixava no meu cenário.

P.S.

Configurei o windows 2008 r2 na instância do EC2 para conectar um AWS VPC em outra região e funcionou muito bem! Eu estou usando as mesmas configurações contadas pela AWS, mas não está funcionando no meu escritório!

Minhas perguntas aqui são: 1) Quais são todas as possibilidades A conexão da Fase 2 não está estabelecendo? 2) Ajude-me a identificar esse log de eventos de segurança "Falha na negociação do modo rápido - nenhuma política configurada"

    
por Pythonoid 16.04.2015 / 11:24

1 resposta

0

A fase 2 refere-se ao momento em que o ponto de extremidade da VPN troca informações sobre os segmentos da LAN protegidos e o protocolo a ser usado para criptografia / autenticação desses segmentos.

Normalmente, você tem erro de Fase2 quando:

  1. os dois endpoints da VPN têm visões diferentes do que deve ser roteado dentro da VPN
  2. quando os protocolos ENC / AUTH não coincidem.

Deixe-me fazer um exemplo: suponha que você tenha um primeiro firewall (A) com LAN 192.168.1.0/24 e um segundo firewall (B) com LAN 192.168.2.0/24.

O Firewall A possui uma VPN configurada para o firewall B, roteando sua LAN 192.168.1.0/24 dentro da VPN. Ao mesmo tempo, devido a um erro de configuração, a LAN remota (a LAN de B) é definida como 192.168.3.0/24.

O Firewall B, por outro lado, está configurado corretamente: sua LAN 192.168.2.0/24 é roteada dentro da VPN com a LAN remota 192.168.1.0/24.

Quando o firewall A iniciar a negociação P2, o segundo firewall (B) se queixará com um erro de política P2, porque não sabe nada sobre o segmento (configurado incorretamente) 192.168.3.0/24.

Portanto, verifique novamente as redes roteadas dentro da VPN e os protocolos ENC / AUTH usados na Fase2.

    
por 16.04.2015 / 11:34