Решено received proposals unacceptable

[kayne]

Добрый день! Не получается построить ipsec site-2-site vpn с vmware nsx и zyxel keenetic giga. В vmware vcloud director вижу ошибку

Tunnel Status - Down
IKE Service Status - Down
IKE Fail Reason - No proposal chosen

Все параметры из доступных верно указал (параметры одинаковы с обоих сторон):

IKE Profiles​

Version - IKE Flex IKE v1 IKE v2
Encryption - AES 128 AES 256 AES GCM 128 AES GCM 192 AES GCM 256
Digest - SHA 1 SHA 2 - 256 SHA 2 - 384 SHA 2 - 512
Diffie-Hellman Group Group 2 Group 5 Group 14 Group 15 Group 16 Group 19 Group 20 Group 21
Association Life Time (seconds)

Tunnel Configuration​

Enable Perfect Forward Secrecy
Defragmentation Policy - Copy Clear
Encryption AES 128 AES 256 AES GCM 128 AES GCM 192 AES GCM 256
Digest SHA 1 SHA 2 - 256 SHA 2 - 384 SHA 2 - 512
Diffie-Hellman Group Group 2 Group 5 Group 14 Group 15 Group 16 Group 19 Group 20 Group 21
Association Life Time (seconds)

DPD Configuration

Probe Interval (seconds)

Лог с Zyxel
14[IKE] X.X.X.X is initiating an IKE_SA
Янв 21 15:55:13
ipsec
14[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA2_256_128/PRF_HMAC_SHA2_256/MODP_2048
Янв 21 15:55:13
ipsec
14[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Янв 21 15:55:13
ipsec
14[IKE] received proposals unacceptable

У кого какие идеи ?

 

[kayne]

Путем общения с саппортом ЦОДа выяснили что было 2 косяка. Ошибся в адресации одной из сетей, указал вместо нужной 192.168.35.0/24 - 192.168.3.0/24. Далее - видимо я указал слишком длинный pre shared key и видимо zyxel keenetic не запоминал значение ключа, уменьшил длину ключа, обновил с обоих сторон и все завелось. Всем спасибо, может кому то будет полезно.