IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - Verschlüsselungskonflikt in Phase 1

IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - Verschlüsselungskonflikt in Phase 1

12848
Created On 07/27/22 22:09 PM - Last Modified 05/09/23 06:02 AM


Symptom


  • VPN Tunnel kam nicht hoch oder ging runter
  • Systemprotokolle, die "kein Vorschlag ausgewählt" anzeigen.
  • Systemprotokolle, die "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen anzeigen, müssen Sie möglicherweise die Einstellungen überprüfen IKE .
  • CLI Befehlsausgaben auf den beiden Peer-Firewalls anzeigen, die unterschiedliche Verschlüsselungsalgorithmen zeigen (Beispiel: AES-256 vs. 3DES)
  • Paketerfassung mit "NO_PROPOSAL_CHOSEN" in den IKE Paketen (UDP Port 500)

Web UI
Navigieren Sie zu Network > Crypto Profile > bearbeiten Sie IKE das Crypto Profile > IKE bearbeiten Sie die Verschlüsselung
Verschlüsselungskonflikt im Web GUI

Systemprotokolle
Navigieren Sie zu Überwachen > Systemprotokolle
Vergleichen von Systemprotokollen für die Phase-1-Verschlüsselung
CLI
Führen Sie auf beiden VPN Peers die folgenden Befehle über CLI

>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][3DES][SHA512]


Wireshark (Drahthai
) Nehmen Sie eine Paketerfassung auf beiden Peers vor und öffnen Sie sie in Wireshark nebeneinander
Vergleich von Wireshark auf Phase-1-Verschlüsselungskonflikte

ikemgr.log
Führen Sie den folgenden Befehl über CLI auf beiden VPN Peers aus

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Hinweis: Weitere Informationen können angezeigt werden, wenn ikemgr auf Debug-Ebene gesetzt wird, aber die Paketerfassung wie oben gezeigt ist ausreichend, um dieses Problem zu diagnostizieren und zu beheben

Environment


PAN-OS
Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind

Cause


Dieses Problem tritt auf, wenn die beiden VPN Peers im Verschlüsselungsalgorithmus nicht übereinstimmen

Resolution


  1. Konfigurieren Sie beide VPN Peers so, dass sie über einen übereinstimmenden Verschlüsselungsalgorithmus verfügen
Übereinstimmender GUI-Screenshot der Verschlüsselungsphase 1
(Im obigen Beispiel wurden zwei Firewalls von Palo Alto Networks als VPN Peers verwendet. Wenn es sich bei Ihrem Peer um einen anderen Anbieter firewallhandelt, führen Sie VPN die entsprechende Konfigurationsänderung für die Phase 1-Verschlüsselung durchfirewall, wenn sie die Ursache für die Nichtübereinstimmung sind.
  1. Ausführen eines Commits
  2. Führen Sie die folgenden Befehle jeweils einige Male auf beidenVPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden  VPN
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
 
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wl9BCAQ&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language