システム ログに「NO_PROPOSAL_CHOSEN」が表示されて IPSec フェーズ 1 ネゴシエーションが失敗する - フェーズ 1 での暗号化の不一致
21252
Created On 07/27/22 22:09 PM - Last Modified 05/27/25 21:36 PM
Symptom
- VPN トンネルが上がらない、または下った
- 「提案が選択されていません」を示すシステム ログ。
- 「<IKEGateway> unauthenticated NO_PROPOSAL_CHOSEN を受信したことを示すシステム ログ。確認が必要な場合があります。IKE設定"
- CLI 異なる暗号化アルゴリズムを示す 2 つのピア ファイアウォールの show コマンド出力 (例:AES-256対 3DES)
- 「NO_PROPOSAL_CHOSEN」を示すパケットキャプチャIKEパケット (UDPポート 500)
ウェブUI
案内するネットワーク >IKE暗号プロファイル >編集IKEクリプト プロファイル>編集暗号化
システムログ
案内する監視 > システムログ
CLI
両方にVPN以下のコマンドを実行します。 CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][3DES][SHA512]
ワイヤーシャーク
両方でパケット キャプチャを実行するVPNピアに接続し、それらを Wireshark で並べて開きます
ikemgr.log
以下のコマンドを実行しますCLI両方のピアで
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.注:ikemgr をデバッグ レベルにすると、より多くの情報が表示されますが、この問題を診断して解決するには、上記のパケット キャプチャで十分です。
Environment
PAN-OS
パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル
Cause
この問題は、2 つのVPNピアの暗号化アルゴリズムに不一致があります
Resolution
- の両方を構成します。VPN一致するピア暗号化アルゴリズム
(上記の例では、2 つの Palo Alto Networks ファイアウォールが次のように使用されました。VPNピア。 もしあなたのVPNピアは別のベンダーですfirewall、同等/同じフェーズ 1 を実行する暗号化構成の変更firewallそれらが不一致の原因である場合)
- 実行する専念
- 以下のコマンドをそれぞれ数回実行します両方VPNピアfirewallCLI彼らを新たに開始し、形成させるために VPN
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>