L2TP VPN без сертификатов между Windows XP и ZyWALL USG 200
Я пытаюсь настроить брандмауэр ZyWALL USG 200 для разрешения Windows XP удаленные клиенты (динамический IP-адрес) для соединения с сетью рабочего места с L2TP VPN. Я не хочу использовать сертификаты, общее имя пользователя и пароль будут достаточно (и управление сертификатом было бы слишком много).
Я не эксперт L2TP, уже не говоря о IPsec, поэтому терпите меня, если я задаю тривиальные вопросы или делаю явные ошибки.
Я настроил то, что я думаю, должен быть L2TP VPN на USG200, однако я получаю следующую ошибку в ее журнале, когда я пытаюсь соединиться от клиента WinXP:
1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG
(обратите внимание на то, что USG200 показывает новые записи в журнале сначала). От поиска Google я получил это, ошибка "Никакое предложение, выбранное", могла бы быть вызвана несоответствием между клиентом и сервером в конфигурации предложения по Фазе 1 IKE. Из этого документа я предполагаю, что следующая конфигурация USG200 должна работать, но это не делает:
Я, очевидно, configred соединение VPN и L2TP VPN также, но я предполагаю тех, которые конфигурация не релевантна, по крайней мере, не в настоящее время. К сожалению, я не могу сказать, почему это не работает или если это - брандмауэр или клиент для обвинения. Я, может казаться, не могу заставить любой соответствующий журнал диагностировать проблему из Windows, таким образом, вот то, как я настроил соединение:
Можно ли помочь мне понять то, что я делаю неправильно?
Проблема заключается не в конфигурации IKE Phase 1, а в локальной политике в параметрах подключения (не показано в моем вопросе). В моем случае Local Policy должен быть IP-адресом общедоступного интерфейса, а это не так. Сообщение журнала вводит в заблуждение, но на самом деле USG предупреждало меня об этой проблеме, однако я решил, что исправление этого предупреждения было вторым шагом, и проблема IKE Phase 1 была первой, которую нужно было решить.
Эта страница помогла мне понять .