IKEv2 Phase 1 proposal mismatch

Denis
Denis Posts: 13  Freshman Member
First Anniversary First Comment
edited April 2021 in Security
Добрый день, пытаюсь настроить IKEv2 с Xauth, для подключение windows машин с использованием встроенного vpn клиента. 
При настройке L2TP over Ipsec (ikev1 вместе с L2TP) используя PSK проблем нет, как только переключаешь с PSK на сертификат возникает ошибка в логах "Phase 1 proposal mismatch", в windows журнале ошибка 809.
В качестве тестовых стендов использовался USG310 и USG20-VPN, последний использовался локально - устройств между компьютером и шлюзом нет. Подключен в lan и USG слушает lan. 
Скрины настроен во вложении.

All Replies

  • Denis
    Denis Posts: 13  Freshman Member
    First Anniversary First Comment
    Выяснил в чем проблема. Дело в том, что Phase 1 нужно указывать шифрование 3des - стандартные настройки windows, можно изменить в брандмауэре. 
  • Zyxel_Charlie
    Zyxel_Charlie Posts: 1,034  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    @Denis

    This forum only supporting English, and Chinese. Please use one of the languages to describe the question.

    If you'd like to ask question in other language, please contact your local Zyxel technical support and they will help to provide services with local language.

  • warwickt
    warwickt Posts: 111  Ally Member
    First Anniversary Friend Collector First Answer First Comment
    Denis said:
    Выяснил в чем проблема. Дело в том, что Phase 1 нужно указывать шифрование 3des - стандартные настройки windows, можно изменить в брандмауэре. 
    G'day Denis, We use this: (I'm a freebsd/macos/ unix linux user) in Windows PS as part of an installer script for an IKEv2 IKE Client setting for Windows 10 PRO to change the default crypto/cypher to SHA256 and AES356 . PFS  etc etc  

    Здравствуйте, Денис, Мы используем это: (Я пользователь freebsd / macos / unix linux) в Windows PS как часть сценария установщика для настройки клиента IKEv2 IKE для Windows 10 PRO, чтобы изменить шифрование / шифр по умолчанию на SHA256 и AES356. PFS и т. Д. И т. Д.
    Add-VpnConnection -Name <your_ikev2_profile_name> -ServerAddress <your_vpn_server_host> -TunnelType "Ikev2"<br>
    Set-VpnConnectionIPsecConfiguration -ConnectionName <your_ikev2_profile_name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES256 -DHGroup Group14 -EncryptionMethod AES256 -PfsGroup None -IntegrityCheckMethod SHA256 -Force
    
    ## have a look at it... просмотрите настройку prosmotrite nastroyku
    
    <p>Get-VpnConnection -Name <your_ikev2_profile_name> | Format-List -Property *</p><p>Get-VpnConnection -Name <your_ikev2_profile_name> | Select-Object -ExpandProperty IPsecCustomPolicy</p>
    
    This is cypher set  the same used by iOS , Graphene OS /Android , StrongSwan, etc etc.. works fine to a USG** model with a router certificate installed on the host(phone, workstation etc) .

    То же самое, что используется в iOS, Graphene OS / Android, StrongSwan и т. Д., Отлично работает с моделью USG ** с сертификатом маршрутизатора, установленным на хосте (телефоне, рабочей станции и т. Д.).To zhe samoye, chto ispol'zuyetsya v iOS, Graphene OS / Android, StrongSwan i t. D., Otlichno rabotayet s model'yu USG ** s sertifikatom marshrutizatora, ustanovlennym na khoste (telefone, rabochey stantsii i t. D.).

    This was back in 2020 .. still seems to work on the latest Windows 10 PRo build. No need to mess with any thing on the Zyxel router end as lomg at the VPN GAteway and THe VPN Connection are correct in the zyxel router.. ...

     похоже, все еще работает над последней сборкой Windows 10 PRo. Нет необходимости возиться с чем-либо на конце маршрутизатора Zyxel, если на маршрутизаторе zyxel правильно настроены параметры VPN Gateway и VPN-соединение.
    Eto bylo yeshche v 2020 godu ... pokhozhe, vse yeshche rabotayet nad posledney sborkoy Windows 10 PRo. Net neobkhodimosti vozit'sya s chem-libo na kntse marshrutizatora Zyxel, yesli na marshrutizatore zyxel pravil'no nastroyeny parametry VPN GAteway i VPN-soyedineniye. 

    Hope that helps mate! Надеюсь, это поможет тебе

    Warwick,
    Hong Kong (Гонконг)


Security Highlight