DHグループの不一致により、IKEv2 キー交換でフェーズ 2 がダウンしています。
124213
Created On 02/13/20 03:00 AM - Last Modified 08/04/22 22:36 PM
Symptom
Firewallいずれかの /Peer がキーのネゴシエートを試みた後、フェーズ 2 はダウンしています。
Environment
ピアは、 で定義されている同じ暗号をサポートしていない可能性のあるパロアルトデバイスではありません Firewall 。
- 一部のベンダーが DH で指定されたグループをサポートしていない場合、ピアでの動作を確認する必要がある場合があります firewall 。
- ピアは PFS 、そのピアの設定から値を継承することができます IKE (この場合パロアルトの IKE 暗号設定)。
IKEMGR firewall 問題が発生しているときに、ログの例を取得
します 1) イニシエータ
> less ikemgr.log 2020-02-11 13:44:04.216 +1100 [PNTF]: { 4: }: ====> IKEv2 CHILD SA NEGOTIATION FAILED AS INITIATOR, non-rekey; gateway SCPriv-Prod-A <==== ====> Failed SA: 10.112.128.132[500]-10.113.48.36[500] message id:0x00000113 parent SN:13230 <==== Error code 19 2020-02-11 13:44:04.217 +1100 [PWRN]: { 5: }: 14 is not a child notify type 2020-02-11 13:44:04.217 +1100 [PERR]: { 5: }: received Notify payload protocol 0 type NO_PROPOSAL_CHOSEN
2) レスポンダー:
> less ikemgr.log 2020-02-11 13:44:08.102 +1100 [PNTF]: { 5: }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS RESPONDER, non-rekey; gateway SCPriv-Prod-A <==== ====> Initiated SA: 10.112.128.132[500]-10.113.56.36[500] message id:0x0000001A parent SN:13282 <==== 2020-02-11 13:44:08.102 +1100 [WARN]: { 5: 6}: selector SCPriv-Prod src is ambiguous, using the first one of the expanded addresses 2020-02-11 13:44:08.102 +1100 [WARN]: { 5: 6}: selector SCPriv-Prod dst is ambiguous, using the first one of the expanded addresses 2020-02-11 13:44:08.102 +1100 [PERR]: { 5: 6}: no proposal chosen 2020-02-11 13:44:10.217 +1100 [PWRN]: { 4: }: 17 is not a child notify type 2020-02-11 13:44:10.218 +1100 [PWRN]: { 5: }: 17 is not a child notify type 2020-02-11 13:44:10.219 +1100 [PWRN]: { 4: }: 14 is not a child notify type 2020-02-11 13:44:10.219 +1100 [PERR]: { 4: }: received Notify payload protocol 0 type NO_PROPOSAL_CHOSEN 2020-02-11 13:44:10.219 +1100 [PNTF]: { 4: }: ====> IKEv2 CHILD SA NEGOTIATION FAILED AS INITIATOR, non-rekey; gateway SCPriv-Prod-A
パケット キャプチャからの例: キーをネゴシエートするイニエータ
フレーム #88、
イニシエーター ( PALO ALTO NETWORKS Firewall ) はキーをネゴシエートし、DHGroup # 2048 MODP ( DH Group14)
フレーム #89 、
応答側 ( ) VENDOR A がINVALID_KEY_PAYLOAD送信し、その受け入れ先が DH Group20/ecp384 (PaloAlto の暗号化設定から値を継承する) ことをピアに知らせます FW 。 IKE
VENDOR A
発信側 ( ) PALOALTO FW は、DHGroup # 2048 MODP ( DH Group14)
Frame #9
VENDOR A NO_PROPOSAL_CHOSEN 1 DH をサポートしていることをピアに知らせるキーをネゴシエートしています。
Cause
参照については、以下 RFC を参照してください:
RFC
A キー交換ペイロードは、ペイロードの
「キー交換データ」部分に、その人のDiffie-Hellmanのパブリック値をコピーすることによって構築されていることを述べています。
Diffie-Hellman パブリック値の長さは MUST 、
指数が実行された主弾性率の長さと等しく
、必要に応じて値にゼロビットを付加します。
DHグループ番号は、キー交換データが計算されたディフィー・ヘルマン・グループを識別
します(セクション3.3.2を参照)。 選択した提案で別の
Diffie-Hellman グループを使用している場合、メッセージ MUST は
、INVALID_KE_PAYLOAD 要求された
暗号スイートの 14 NO_PROPOSAL_CHOSEN 14 の種類の Notify ペイロードで拒否されます。
INVALID_KE_PAYLOAD 17
D-H ペイロードの Group # フィールド KE は、
この交換の応答側によって選択されたグループ # ではありません。
この通知に関連付けられたデータの2つのオクテットがあります
: D-H ビッグエンディアン順で受け入れられたグループ#。
IKE
http://live.paloaltonetworks.com:80/t5/Management-Articles/How-to-Troubleshoot-IPSec VPN- 接続の問題/ta-p/59187
のデバッグを有効にするには、以下の記事を参照してください。
> debug ike global on debug > less mp-log ikemgr.log > debug ike pcap on > view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap > debug ike pcap off
注意:
1) 通常のシナリオでは、ピア ( ) は VENDOR A firewall
、2) 特定のグループをサポートしていない可能性のあるピアの特定の要件の下で、それぞれの設定を持っている必要があります DH (この場合、ピアは DH Group20 をサポートしていません) は IPSEC PFS IKE PFS FW 、問題の原因となったピアの (PaloAlto の IKE 暗号化設定) を継承します。
1) IKE DH group20 (ピアではサポートされていない
) 2) IPSEC のクリプト プロファイルで設定されたクリプト プロファイル DH (ピアでサポートされる)
Resolution
IKECrypto と crypto IPSEC の両方の設定が DH Firewall 、ピアの動作とトンネルの安定性に対応するために、サイドに同じグループが設定されていることを確認します。
たとえば、ピアが group20 をサポートしていない DH 場合は、 DH の両方の Crypto 設定に別のグループを使用できます firewall 。