Windows和L2TP USG 200之间没有证书的ZyWALL VPN

Question

我正在尝试配置一个Windows 200防火墙，让Windows远程客户端(动态IP地址)通过ZyWALL VPN连接到工作场所网络。我不想使用证书，一个普通的用户名和密码就足够了(而且证书管理会太多)。

我不是L2TP专家，更别提IPsec了，所以如果我问一些琐碎的问题或者犯了明显的错误，请耐心等待我。

我已经在USG200上配置了我认为应该是USG200的VPN，但是当我试图从WinXP客户端连接时，它的日志中会出现以下错误：

1 2015-09-25 11:03:33 info IKE Send:[NOTIFY:NO_PROPOSAL_CHOSEN] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
2 2015-09-25 11:03:33 info IKE [SA] : No proposal chosen 192.168.0.1:500 84.223.99.164:500 IKE_LOG
3 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0xa212f247eeebfb4b [count=2] 192.168.0.1:500 84.223.99.164:500 IKE_LOG
4 2015-09-25 11:03:33 info IKE Recv:[SA][VID][VID][VID][VID] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
5 2015-09-25 11:03:33 info IKE The cookie pair is : 0xa212f247eeebfb4b / 0x214b5575aaa53052 84.223.99.164:500 192.168.0.1:500 IKE_LOG
6 2015-09-25 11:03:33 info IKE Recv Main Mode request from [84.223.99.164] 84.223.99.164:500 192.168.0.1:500 IKE_LOG
7 2015-09-25 11:03:33 info IKE The cookie pair is : 0x214b5575aaa53052 / 0x0000000000000000 84.223.99.164:500 192.168.0.1:500 IKE_LOG

(请注意，USG200首先显示最新的日志条目)。通过Google搜索，我发现错误“没有选择提案”可能是由IKE第一阶段提案配置中的客户端和服务器之间的不匹配引起的。在本文件中，我假设下面的USG200配置应该可以工作，但它不能：

我显然也配置了VPN连接和L2TP VPN，但我猜这些配置是不相关的，至少暂时不相关。不幸的是，我不知道为什么它不工作，或者是防火墙或客户端的责任。我似乎无法从Windows获得任何相关的日志来诊断问题，下面是我如何配置连接：

你能帮我理解一下我做错了什么吗？

Answer 1

问题不是IKE阶段1配置，而是连接设置中的本地策略(我的问题中没有显示)。在我的例子中，本地政策必须是公共接口IP，但它不是。日志信息是误导的，但是副秘书长实际上是在警告我这个问题，但是我认为修复这个警告是第二步，而IKE第一阶段的问题是第一个需要解决的。

此页帮助我理解了。