我正在build立一个从我的办公室到amazon web servicesVPC的IPSEC隧道,使用Windows 2008 R2机器作为“客户网关”。 我在这里使用这个指南configuration我的机器。
然而,隧道从来没有起床。 我用AWS的支持深入挖掘,发现IPSEC隧道的第一阶段是IKE关联成熟,build立良好,但是阶段2或快速模式失败,出现以下错误:
快速模式协商失败 – 原因“没有configuration策略”
我查了这个官方微软VPN IPSEC解决scheme指南 ,这不适合我的情况。
PS
我已经在EC2实例中configuration了windows 2008 r2,在另一个地区连接了一个AWS VPC,效果非常好! 我使用的是与AWS所说的相同的configuration,但不能在我的办公室工作!
我的问题是:1)什么是所有的可能性阶段2连接没有build立? 2)帮助我识别这个安全事件日志“快速模式协商失败 – 没有configuration策略”
阶段2是指VPN端点交换关于受保护的LAN段的信息以及用于这些段的encryption/authentication的协议。
通常情况下,出现Phase2错误时:
让我举个例子:假设你有第一个防火墙(A),局域网192.168.1.0/24,第二个防火墙(B),局域网192.168.2.0/24。
防火墙A的VPNconfiguration为防火墙B,在VPN内路由其局域网192.168.1.0/24。 同时,由于configuration错误,远程LAN(B的LAN)定义为192.168.3.0/24。
另一方面,防火墙Bconfiguration正确:它的局域网192.168.2.0/24在远程局域网192.168.1.0/24的VPN内路由。
当防火墙A开始P2协商时,第二个防火墙(B)会抱怨出现P2策略错误,因为它对(错误configuration的)192.168.3.0/24段一无所知。
因此,请仔细检查在VPN中路由的networking以及用于Phase2的ENC / AUTH协议。