由于组不匹配,IKEv2关键交换阶段已关闭 DH
124233
Created On 02/13/20 03:00 AM - Last Modified 08/04/22 22:36 PM
Symptom
第2阶段是在任一 Firewall /佩尔试图谈判的关键后。
Environment
同行不是帕洛阿尔托设备,可能不支持相同的密码定义在 Firewall 。
-您可能需要与同行检查行为,因为某些供应商不支持 DH 其中指定的组 firewall 。
- 同行可以 PFS 从同行的 IKE 设置中继承值(对于此情况,Palo Alto 的 IKE 加密设置)。
IKEMGR从 firewall 问题发生时获取的日志示例
1) 发起人
> less ikemgr.log 2020-02-11 13:44:04.216 +1100 [PNTF]: { 4: }: ====> IKEv2 CHILD SA NEGOTIATION FAILED AS INITIATOR, non-rekey; gateway SCPriv-Prod-A <==== ====> Failed SA: 10.112.128.132[500]-10.113.48.36[500] message id:0x00000113 parent SN:13230 <==== Error code 19 2020-02-11 13:44:04.217 +1100 [PWRN]: { 5: }: 14 is not a child notify type 2020-02-11 13:44:04.217 +1100 [PERR]: { 5: }: received Notify payload protocol 0 type NO_PROPOSAL_CHOSEN
2) 响应者 :
> less ikemgr.log 2020-02-11 13:44:08.102 +1100 [PNTF]: { 5: }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS RESPONDER, non-rekey; gateway SCPriv-Prod-A <==== ====> Initiated SA: 10.112.128.132[500]-10.113.56.36[500] message id:0x0000001A parent SN:13282 <==== 2020-02-11 13:44:08.102 +1100 [WARN]: { 5: 6}: selector SCPriv-Prod src is ambiguous, using the first one of the expanded addresses 2020-02-11 13:44:08.102 +1100 [WARN]: { 5: 6}: selector SCPriv-Prod dst is ambiguous, using the first one of the expanded addresses 2020-02-11 13:44:08.102 +1100 [PERR]: { 5: 6}: no proposal chosen 2020-02-11 13:44:10.217 +1100 [PWRN]: { 4: }: 17 is not a child notify type 2020-02-11 13:44:10.218 +1100 [PWRN]: { 5: }: 17 is not a child notify type 2020-02-11 13:44:10.219 +1100 [PWRN]: { 4: }: 14 is not a child notify type 2020-02-11 13:44:10.219 +1100 [PERR]: { 4: }: received Notify payload protocol 0 type NO_PROPOSAL_CHOSEN 2020-02-11 13:44:10.219 +1100 [PNTF]: { 4: }: ====> IKEv2 CHILD SA NEGOTIATION FAILED AS INITIATOR, non-rekey; gateway SCPriv-Prod-A
数据包捕获示例:启动器谈判密钥
Frame#88,
发起人 PALO ALTO NETWORKS Firewall () 正在谈判关键, 让同行知道 DHGroup # 2048 MODP (组 DH 14)
帧 #89,
响应者 VENDOR A () 发送INVALID_KEY_PAYLOAD, 让同行知道它只接受 DH Group20/ecp384 (同行继承了帕洛阿托 FW 的 IKE 加密设置的价值).
VENDOR A 事实上并不支持 Group20(这可能会在客户环境中有所不同
)Frame#90,
发起人 PALOALTO FW () 正在谈判关键,让同行知道它支持 DHGroup # 2048 MODP DH (Group14) 框架
#91,
响应者 VENDOR A ()发送NO_PROPOSAL_CHOSEN 因为它不同意 DH 组定义。
Cause
请参阅以下 RFC 内容以供参考:
RFC 说明
A 关键交换有效载荷是通过将 Diffie-Hellman
公共值复制到有效载荷的"关键交换数据"部分来构建的。
Diffie-Hellman 公共值 MUST 的长度等于
执行指数的原始模组的长度
,如有必要,则将零位引向值。
DH小组确定计算关键交换数据的迪菲-赫尔曼组
(见第3.3.2节)。 如果选定的
提案使用不同的 Diffie-Hellman 组,则该消息 MUST 将被
拒绝,并带有类型的通知有效载荷INVALID_KE_PAYLOAD NO_PROPOSAL_CHOSEN
14
所提议的加密套件均不能接受。
INVALID_KE_PAYLOAD 17
D-H 有效载荷中的组 #字段 KE 不是
响应者为此交换选择的组。
有两个八角形的数据与此通知相关:
接受的 D-H 组#在大内序。
请参阅以下文章,以便调试 IKE
http://live.paloaltonetworks.com:80/t5/Management-Articles/How-to-Troubleshoot-IPSec VPN- 连接问题/ta-p/59187
命令,这些命令可用于查看调试和执行数据包捕获
> debug ike global on debug > less mp-log ikemgr.log > debug ike pcap on > view-pcap no-dns-lookup yes no-port-lookup yes debug-pcap ikemgr.pcap > debug ike pcap off
注意:
1) 在正常情况下,对等值 VENDOR A () 应具有相应的设置,以匹配 firewall
2) 根据对同行的某些要求,它可能不支持特定 DH 组(对于这种情况,对等器不支持 DH Group20),它继承 IPSEC PFS IKE PFS 了导致此问题的对等值(PaloAlto FW 的 IKE 加密设置)。
1) IKE 与组 20 配置的加密配置文件 DH (不支持对等)
2) IPSEC 加密配置文件与 DH 组 14(由对等支持)
Resolution
确保 IKE 加密和 IPSEC 加密设置都具有相同的 DH 组配置在 Firewall 一边,以满足同行的行为和隧道稳定性。
例如,如果对等器不支持 DH 组 20,则您可以在 DH firewall 。。