VPN Client から ASA にリモートアクセス接続した際、接続が正常に確立できるにもかかわらず、下記のような Syslog が表示される場合があります。

%ASA-5-713257: Phase 1 failure:  Mismatched attribute types for class Group Description:  Rcv'd: Group 2  Cfg'd: Group 5

このメッセージに含まれている Group 2 と Group 5 の単語から、VPN の世界では自然的に Diffie-Hellman グループのことを思い出します。Diffie-Hellman グループが登場する設定箇所は、Phase 1 ISAKMP ポリシーの定義、及び Phase 2 PFS の設定ですので、下記のコマンドで関連の設定を見てみますと、

ciscoasa# show running-config crypto
crypto ipsec transform-set tset esp-3des esp-md5-hmac
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map DYN 10 set transform-set tset
crypto dynamic-map DYN 10 set reverse-route
crypto map MAP 65535 ipsec-isakmp dynamic DYN
crypto map MAP interface outside
crypto isakmp enable outside
crypto isakmp policy 10
authentication pre-share
encryption 3des
hash sha
group 5
lifetime 86400
crypto isakmp policy 20
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400

ISAKMP ポリシーが二つ定義されており、シーケンス番号の若いほうが IKE ネゴシエーションで優先されます。リモートアクセス VPN では、group 2 が必要ですので、先に group 5 でネゴシエーションしたところ、ミスマッチが生じて上記の Syslog メッセージが発生していることが推測できます。その後、シーケンス番号が 20 の ISAKMP ポリシーでネゴシエーションが成功し、VPN セッションが張れました。

%ASA-7-715028: Group = EZVPN, IP = 192.168.89.1, IKE SA Proposal # 1, Transform # 9 acceptable  Matches global IKE entry # 2

実際シーケンス番号が 10 の ISAKMP ポリシーで group 5 を group 2 に変更すると、このメッセージが発生しなくなります。