Commit-Fehler "aesgcm sollte Hash-Wert NON-AUTHwählen" oder "kmp_hash_alg NON-AUTH wird nicht unterstützt"

Commit-Fehler "aesgcm sollte Hash-Wert NON-AUTHwählen" oder "kmp_hash_alg NON-AUTH wird nicht unterstützt"

66336
Created On 01/29/22 01:37 AM - Last Modified 05/15/23 09:22 AM


Symptom


  • Commit schlägt auf dem Palo Alto Firewall fehl oder mit einem Fehler wie "aesgcm sollte Hash-Wert NON-AUTHwählen" oder Prisma Access "kmp_hash_alg NON-AUTH wird nicht unterstützt"
  • Der Commit-Fehler ist spezifisch für IPSEC die Kryptokonfiguration des Tunnels IKE .
  • Dies kann sowohl bei Tunneln vom Typ IKEv1 als auch beim Typ IKEv1 der Fall sein.
  • Die folgenden Fehler werden für einen IKEv1-Tunnel beobachtet.
IKE gateway site_1 ikev1 section, kmp_enc_alg AES128-GCM16 is not supported
(Module: ikemgr)
IKE gateway site_1 ikev1 section, kmp_hash_alg NON-AUTH is not supported
(Module: ikemgr)
  • Die folgenden Fehler werden für einen IKEv2-Tunnel beobachtet.
IKE gateway site_1 ikev2 section, aesgcm should choose  hash value NON-AUTH
(Module: ikemgr)


Environment


  • Palo Alto Firewall mit IPsec-Tunnel.
  • PAN-OS 10.0.0 und höher
  • Prisma Access für remote networks
  • Prisma Access Service-Anschlüsse

Cause


  • Die Fehler sind das Ergebnis einer ungültigen Konfiguration.
  • aes-gcm wurde als Teil der PAN-OS Version 10.0 nur für Gateways/Tunnel vom Typ IKEv2 eingeführt.
  • Wenn Sie aes-gcm mit IKEv1 verwenden, schlägt der Commit fehl.
  • Auch bei IKEv2 erfordert die Konfiguration, dass die Authentifizierung auf "Keine" festgelegt ist, wenn die Verschlüsselung auf den Typ "aes-gcm" festgelegt ist.
Weitere Informationen zu unterstützten Krypto-Typen finden Sie im folgenden Dokument.

Krypto-Profile definieren IKE

Resolution


  1. Wenn Sie IKEv1-Verschlüsselung verwenden, verwenden Sie aes-gcm nicht für die Verschlüsselung. Es wird nicht unterstützt.
  2. Bei Verwendung von IKEv2-Verschlüsselung und Verschlüsselung als aes-gcm muss die Authentifizierung auf None gesetzt werden.
  3. Der Hash wird automatisch basierend auf der DH ausgewählten Gruppe ausgewählt. Details finden Sie im obigen Dokument.

Additional Information


Einige der zu beachtenden Vorbehalte:
  • Wenn ein 9.1 durch Panorama Ausführen von 10.0 verwaltet wird und die Konfiguration funktionierte, bis auch auf firewall 10.0 aktualisiert wurde, wird das Verhalten erwartet, da das als AES-GCM neue Funktion in der Version 10.0 hinzugefügt wurde und 9.1 firewall firewall diese Verschlüsselung einfach ignorieren und stattdessen aes-cbc-256 auswählen würde.
  • Um die bestmögliche Verschlüsselung und den bestmöglichen Hash zu verwenden, verwenden Sie DH Gruppe 20, die dazu führt, dass das IKE Gateway sha384 verwendet
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N1uCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language