La négociation IPSec Phase 1 échoue avec « NO_PROPOSAL_CHOSEN » dans les journaux système - Incompatibilité de chiffrement dans la phase 1

La négociation IPSec Phase 1 échoue avec « NO_PROPOSAL_CHOSEN » dans les journaux système - Incompatibilité de chiffrement dans la phase 1

12848
Created On 07/27/22 22:09 PM - Last Modified 05/09/23 05:55 AM


Symptom


  • VPN Le tunnel ne monte pas ou ne descend pas
  • Journaux système indiquant « Aucune proposition choisie ».
  • Journaux système affichant « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »
  • CLI afficher les sorties de commande sur les deux pare-feu homologues montrant des algorithmes de chiffrement différents (Exemple : AES-256 vs 3DES)
  • Packet Capture montrant « NO_PROPOSAL_CHOSEN » dans les IKE paquets (UDP port 500)

Web UI
Accédez à Profil de chiffrement > IKE réseau > modifiez le IKE profil de chiffrement > modifiez le chiffrement
Incompatibilité de chiffrement sur le Web GUI

Journaux système
Accédez à Surveiller > les journaux système
Comparaison des journaux système pour le chiffrement de la phase 1
CLI
Sur les deux homologues, exécutez la ou les VPN commandes ci-dessous via CLI

>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][3DES][SHA512]


Requin fil
Prenez une capture de paquets sur les deux pairs et ouvrez-les dans Wireshark côte à côte
Comparaison de Wireshark pour l’incompatibilité de chiffrement de phase 1

ikemgr.log
Exécutez la commande ci-dessous via CLI sur les deux VPN pairs

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Remarque: Plus d’informations peuvent être vues si ikemgr est mis au niveau de débogage, mais la capture de paquets comme vu ci-dessus est suffisante pour diagnostiquer et résoudre ce problème

Environment


PAN-OS
Palo Alto Networks firewall configuré avec IPSec VPN Tunnel

Cause


Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans l’algorithme de chiffrement

Resolution


  1. Configurer les VPN deux homologues pour qu’ils disposent d’un algorithme de chiffrement correspondant
Capture d’écran de l’interface graphique Matching Encryption Phase 1
(Dans l’exemple ci-dessus, deux pare-feu Palo Alto Networks ont été utilisés comme VPN homologues. Si votre VPN homologue est un fournisseur firewalldifférent, effectuez sa modification de configuration équivalente/identique à la phase 1 du chiffrement sur son firewall s’il est à l’origine de l’incompatibilité)
  1. Effectuer une validation
  2. Exécutez les commandes ci-dessous plusieurs fois chacune sur les deuxVPN CLI homologues firewall pour les initier et les former  VPN
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
 
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wl9BCAQ&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language