Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 15160 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec S2S-VPN to ZyWall: NO_PROPOSAL_CHOSEN

WengerIT
Hi!

after a long time just reading in this forum and getting my problems solved by reading the posts of others, I'm now at a point where I hope that I get help by posting my problem.

I try to Setup a VPN to a ZyWall. My Client has a brand new ASG120 running at the latest Software (v9). I need to connect to a remote system of a partner of my client who runs a ZyWall.

I got the following settings for my IPsec-Tunnel:
 - Phase 1: AES128, MD5, 86400s SA lifetime, DH2
 - Phase 2: AES128, MD5, 86400s SA lifetime, NO PFS
 - no strict Policy, no Compression

 - Gateway is initiate connection, secured by PSK, VPN ID is the Dyndns-Hostname of my ASG (phy******.mooo.com), Remote Network is the whole Private Subnet on the Partners side
 - Local network is my whole private subnet, Automatic FW-Rules, Strict Routing, Support MTU path discovery.


When i now connect, i always get the Error Message:
"packet from YYY.YYY.YYY.YYY:500: ignoring informational payload, type NO_PROPOSAL_CHOSEN"

We tried almost every combination of the P1 and P2-Settings and there are really the same now. The ZyWall itself says only the same in their logs.


Please see the attachments (ASG Logs; default and with all debug-options, ZyWall Logs, ZyWall Config).


Thanks for your help!
Rolf


This thread was automatically locked due to age.
Parents
  • 0
    Are you sure that the DH Group matches?

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Are you sure that the DH Group matches?
     yes. and i tried also all the posible combinations.

    Sorry for any short responses!  Posted from my iPhone.
    no problem :-)

    Rolf
  • 0 in reply to WengerIT
    Looks like you mixed up local and peer ID type in zyxwall
  • 0 in reply to papa__01
    Looks like you mixed up local and peer ID type in zyxwall

    Can you give me a hint for a correct configuration? Remember that my ASG has no fix IP - the only "fix" thing is the Dyndns-Name but of course the IP the ASG has currently does not resolv reverse to this Dyndns-Name.
  • 0 in reply to WengerIT
    Can you give me a hint for a correct configuration? Remember that my ASG has no fix IP - the only "fix" thing is the Dyndns-Name but of course the IP the ASG has currently does not resolv reverse to this Dyndns-Name.


    Just wondering since I haven't configured a zywall but for the Peer gateway address maybe you should choose dynamic instead of static.
Reply
  • 0 in reply to WengerIT
    Can you give me a hint for a correct configuration? Remember that my ASG has no fix IP - the only "fix" thing is the Dyndns-Name but of course the IP the ASG has currently does not resolv reverse to this Dyndns-Name.


    Just wondering since I haven't configured a zywall but for the Peer gateway address maybe you should choose dynamic instead of static.
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?