La negociación IPSec Fase 1 falla con "NO_PROPOSAL_CHOSEN" visto en Registros del sistema - Falta de coincidencia de cifrado en la fase 1

La negociación IPSec Fase 1 falla con "NO_PROPOSAL_CHOSEN" visto en Registros del sistema - Falta de coincidencia de cifrado en la fase 1

12844
Created On 07/27/22 22:09 PM - Last Modified 05/09/23 06:01 AM


Symptom


  • VPN El túnel no subió o bajó
  • Registros del sistema que muestran "ninguna propuesta elegida".
  • Registros del sistema que muestran "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"
  • CLI mostrar salidas de comandos en los dos firewalls del mismo nivel que muestran diferentes algoritmos de cifrado (Ejemplo: AES-256 vs. 3DES)
  • Captura de paquetes que muestra "NO_PROPOSAL_CHOSEN" en los IKE paquetes (UDP puerto 500)

Telaraña UI
Vaya a Perfil criptográfico de red > IKE > edite el IKE perfil criptográfico > edite el cifrado
Falta de coincidencia de cifrado en Web GUI

Registros del sistema
Vaya a Supervisar > registros del sistema
Comparación de registros del sistema para el cifrado de fase 1
CLI
En ambos VPN pares, ejecute los siguientes comandos a través de CLI

>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][3DES][SHA512]


Tiburón de alambre
Tome una captura de paquetes en ambos pares y ábralos en Wireshark side-by-side
Comparación de Wireshark para la falta de coincidencia de cifrado de fase 1

ikemgr.log
Ejecute el siguiente comando a través de CLI en ambos VPN pares

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Nota: Se puede ver más información si ikemgr se pone en el nivel de depuración, pero la captura de paquetes como se ve anteriormente es suficiente para diagnosticar y resolver este problema.

Environment


PAN-OS
Palo Alto Networks firewall configurado con túnel IPSec VPN

Cause


Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en el algoritmo de cifrado

Resolution


  1. Configurar ambos VPN pares para que tengan un algoritmo de cifrado coincidente
Captura de pantalla de la GUI de la fase de cifrado 1 coincidente
(En el ejemplo anterior, se usaron dos firewalls de Palo Alto Networks como VPN pares. Si su par es un proveedor firewalldiferente, realice su cambio de configuración de cifrado de fase 1 equivalente/mismo en su firewall VPN si son el origen de la discrepancia)
  1. Realizar una confirmación
  2. Ejecute los siguientes comandos un par de veces cada uno en ambasVPN CLI del mismo nivel firewall para que se inicien y formen  VPN
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
 
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wl9BCAQ&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language