1 votes

Adam Robinson avatar

Erreur de phase 2 lors de la connexion de Windows 7 à l'ASA5505 VPN

Demandé el 8 de Avril, 2011
Quand la question a-t-elle été
12913 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'essaie d'installer un nouvel ASA5505 sur notre réseau (auparavant nous utilisions IPCop), et j'ai un peu de mal à faire fonctionner le VPN. J'ai exécuté l'assistant VPN IPSec dans ASDM (6.3) sur l'ASA (8.3) et j'ai sélectionné la deuxième option, L2TP over IPSec. Après avoir activé L2TP/IPSec et IPSec dans le profil, je peux me connecter avec les clients suivants :

  • Client VPN intégré à OSX
  • Client VPN Cisco OSX
  • iPhone
  • iPad

J'essaie de faire en sorte que nos clients Windows se connectent, mais l'utilisation du client VPN Cisco n'est malheureusement pas une option pour nous, car la plupart d'entre nous utilisent Windows 7 64 bits, mais l'ASA est livré avec la version 5.0.06 du client VPN, mais la version 5.0.07 est celle où la prise en charge des 64 bits a été introduite.

J'essaie d'utiliser le client L2TP/IPSec intégré à Windows 7 pour me connecter au VPN, mais voici la chaîne d'événements que je vois dans le moniteur (réglé au niveau Débogage) lorsque je me connecte :

Built inbound UDP connection 66792 for outside:x.x.x.x/27917 (x.x.x.x/27917) to identity:IP4/4500 (IP4/4500)
Group = DefaultRAGroup, IP = x.x.x.x, Automatic NAT Detection Status:     Remote end   IS   behind a NAT device     This   end is NOT behind a NAT device
AAA retrieved default group policy (vpn) for user = DefaultRAGroup
Group = DefaultRAGroup, IP = x.x.x.x, PHASE 1 COMPLETED
IP = x.x.x.x, Keep-alives configured on but peer does not support keep-alives (type = None)
Group = DefaultRAGroup, IP = x.x.x.x, All IPSec SA proposals found unacceptable!
Group = DefaultRAGroup, IP = x.x.x.x, QM FSM error (P2 struct &0xca3609e8, mess id 0x1)!
Group = DefaultRAGroup, IP = x.x.x.x, Removing peer from correlator table failed, no match!
Group = DefaultRAGroup, IP = x.x.x.x, Session is being torn down. Reason: Phase 2 Mismatch
Group = DefaultRAGroup, Username = , IP = x.x.x.x, Session disconnected. Session Type: IKE, Duration: 0h:00m:00s, Bytes xmt: 0, Bytes rcv: 0, Reason: Phase 2 Mismatch

(Adresse IP remplacée par x.x.x.x)

À ce stade, le client Windows ne bouge pas et finit par s'arrêter.

Quelqu'un a-t-il une idée de ce que je devrais changer pour que cela fonctionne pour les deux clients qui travaillent déjà ? et Fenêtres ?

Je n'ai pas encore beaucoup d'expérience avec les équipements Cisco, donc je m'excuse si j'aurais dû inclure des informations de débogage ou de journalisation supplémentaires. N'hésitez pas à poser des questions et je modifierai ma question.

Demandé el 8 de Avril, 2011 par Adam Robinson

Réponses

Trop de publicités?

2voto

AlexTsr avatar
AlexTsr Points 606

Tout d'abord, vérifiez vos paramètres.

Toutes les propositions de SA IPSec sont jugées inacceptables !

...

La session est en cours de démolition. Raison : Inadéquation de la phase 2

Cela signifie très probablement qu'il y a effectivement une incompatibilité au niveau des paramètres. Malheureusement, je n'ai pas utilisé le client intégré de Windows et je n'ai pas connaissance de problèmes de compatibilité.

Deuxièmement, si vous ne pouvez pas obtenir la dernière version du client VPN de Cisco, c'est-à-dire auprès de votre revendeur, de cisco.com, etc. http://www.shrew.net/software . C'est ce que nous utilisions avant que Cisco ne corrige le problème des 64 bits avec son client.

Répondu el 8 de Avril, 2011 par AlexTsr (606 Points )

2voto

Charlie Zhu avatar
Charlie Zhu Points 21

http://gregsowell.com/?p=805

Un autre non rapide Si vous avez plusieurs cartes cryptographiques dynamiques, vous devez faire en sorte que votre carte cryptographique L2TP ait une priorité plus élevée que les autres. Vous verrez souvent le message "All IPSec SA proposals found unacceptable" (Toutes les propositions de SA IPSec jugées inacceptables) à cause de ce problème.

Répondu el 30 de Août, 2011 par Charlie Zhu (21 Points )

1voto

daniel avatar
daniel Points 494

Il se peut que Windows n'utilise pas le même cryptage.

Avez-vous configuré le VPN avec 3DES-MD5 ou 3DES-SHA ?

Assurez-vous que c'est également ce que Windows utilise.

Répondu el 8 de Avril, 2011 par daniel (494 Points )

0voto

Andrew Tappert avatar
Andrew Tappert Points 11

Essayez ce qui suit, cela m'a aidé après des heures de lutte...

crypto ipsec transform-set myset esp-3des esp-sha-hmac

crypto ipsec transform-set myset mode transport

crypto dynamic-map mydynamapp 20 set transform-set myset

crypto isakmp policy 10 authentification pre-share cryptage 3des hachage sha groupe 2

tunnel-group DefaultRAGroup ppp-attributes no authentication chap authentification ms-chap-v2

nom d'utilisateur cisco mot de passe cisco chap nom d'utilisateur attributs cisco

vpn-tunnel-protocol l2tp-ipsec

conservez les autres configurations, cela devrait fonctionner.

Répondu el 20 de Avril, 2011 par Andrew Tappert (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X