Cisco PIX到Juniper Netscreen基于策略的VPN未能通过第2阶段提案

我按照说明在思科的[netscreen to PIX VPN] http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a00801c4445指导下在netscreen设备和Cisco PIX之间configurationVPN 。 shtml文章。

唯一的区别是我正在运行PIX 6.3(5)和Juniper Netscreen 6.1.0r2.0(防火墙+ VPN)。 我精确地遵循了两种configuration,当我尝试连接时,Juniper返回:

2010-02-21 12:54:28 information IKE: Removed Phase 2 SAs after receiving a notification message. 2010-02-21 12:54:28 information IKE pix_public_IP: Received a notification message for DOI 1 14 NO-PROPOSAL-CHOSEN. 2010-02-21 12:54:28 information IKE pix_public_IP Phase 2: Initiated negotiations. 

在Netscreen上,我使用DH组#2,3DES-CBC和SHA-1创build了名为ToCorpOffice的阶段2提案,并且在configuration自动密钥IKE时,我select了ToCorpOffice并删除了所有其他转换。 我相信我已经在PIX上configuration了相同的:

 sysopt connection permit-ipsec crypto ipsec transform-set mytrans esp-3des esp-sha-hmac crypto map mymap 10 ipsec-isakmp crypto map mymap 10 match address nonat crypto map mymap 10 set pfs group2 crypto map mymap 10 set peer netscreen_public_ip crypto map mymap 10 set transform-set mytrans crypto map mymap interface outside 

保存并重新启动,所以这里是cryptomap信息:PIX-FW1#show crypto map

 Crypto Map: "mymap" interfaces: { outside } Crypto Map "mymap" 10 ipsec-isakmp Peer = netscreen_public_ip access-list nonat; 1 elements access-list nonat line 1 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 (hitcnt=0) Current peer: netscreen_public_ip Security association lifetime: 4608000 kilobytes/28800 seconds PFS (Y/N): Y DH group: group2 Transform sets={ mytrans, } PIX-FW1# 

任何想法,为什么我得到一个没有build议,select错误?

大多数时候我看到这个问题,这是由于encryption域(代理ID)不匹配。 由于您在Juniper方面使用的是基于策略的VPN,而不是基于路由的VPN,所以您将会看到Juniper方面尝试设置符合策略的IPSec SA。 例如,如果您的Juniper策略如下所示:

 set policy id 50 from "Untrust" to "Trust" "ext-192.168.1.50" "int-192.168.2.50" "HTTP"... 

基于策略的VPNconfiguration将期望ASA尝试build立从192.168.1.50到192.168.2.50的主机到主机IPSec SA,而ASA正试图build立一个从192.168.2.0/24到192.168.1.0/24。

我无法确定您的configuration是否属于这种情况,因为您不从Juniper方面发布策略,但这是我经常遇到的与您的症状类似的问题。 最简单的解决scheme是修改ASA上的访问列表以匹配瞻博networking防火墙上的策略(注意,它仍然需要“permit ip”而不是指定L4 +协议,因为您只需指定代理ID)。

在代理ID添加本地和远程子网 – 这将使其工作

我的供应商希望看到我的所有stream量来自一个IP地址。 我build立了一个基于路由的策略,使用Tunnel.1和Loop.1创build一个带有/ 26的Loop,出站NAT IP在这个范围内(他们指定了一个他们希望看到我的stream量的地址,它是广播IP所有的范围,直到我做了/ 26)。 我在隧道接口(他们指定了1个IP,因此DIP为172.28.1.95到.95)上创build了我的DIP,并创build了策略以使其Cisco Crypto_Map与我的出站DIP的源翻译相匹配。

棘手的部分是,我不得不创build个人阶段二(IKE AutoKey VPNs),并使用代理ID来匹配他们的crypto_map。 当我做了第一个第二阶段,那个工作。 一旦我做了更多的一个,它失败了。

为了解决这个问题,我不得不寻址一个GW地址到路由到我正在连接的地址(而不是只是说下去tunnel.1接口,必须加上一个GW IP),然后在tunnel.1接口不得不做下一跳隧道绑定。 我认为在创build第二个阶段II并将其绑定到通道接口之前,您甚至不会将此视为一个选项,因为如果只有一个通道,则根本不需要。 因此,对于encryption域(crypto_map)中的每个条目(并且就此而言,我必须build立每个阶段II),我创build了一个NHTB条目,该条目具有远程端IP的IP地址(同样来自它们的crypto_map)第二阶段的VPN。

不仅Tom O'Connor的答案没有帮助,而是FUD。 瞻博networking设备就像任何其他设备一样,如果您要正确设置实施IPSec规范的设备,唯一的困难就是不知道如何在设备上这样做。

请尝试Juniper知识库中关于VPN故障排除的文章。 这可能会更有帮助。

http://kb.juniper.net/index?page=content&id=KB9221

你的SSGconfiguration是什么样的?

我的Netscreen有错误的本地IP地址/networking掩码组合后,我得到了这个错误。

瞻博networkingVPN可能非常难以说服与其他设备交谈。 IME,与其他瞻博networking设备交谈时,他们真的很高兴。

我怀疑这可能是类似的东西。