IPSec 第 1 阶段协商失败,系统日志中显示“NO_PROPOSAL_CHOSEN”-第 1 阶段加密不匹配

IPSec 第 1 阶段协商失败,系统日志中显示“NO_PROPOSAL_CHOSEN”-第 1 阶段加密不匹配

12840
Created On 07/27/22 22:09 PM - Last Modified 05/09/23 06:01 AM


Symptom


  • VPN 隧道不上或下
  • 系统日志显示“未选择任何提案”。
  • 系统日志显示“<IKEGateway> 收到未经身份验证的 NO_PROPOSAL_CHOSEN,您可能需要检查IKE设置”
  • CLI 在显示不同加密算法的两个对等防火墙上显示命令输出(示例:AES-256与 3DES)
  • 数据包捕获显示“NO_PROPOSAL_CHOSEN”IKE数据包(UDP端口 500)

网络UI
导航网络 >IKE加密简介 >编辑IKE加密资料>编辑加密
Web 中的加密不匹配 GUI

系统日志
导航监控 > 系统日志
比较阶段 1 加密的系统日志
CLI
双方VPN同行,通过运行以下命令 CLI

>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][3DES][SHA512]


线鲨
在两者上进行数据包捕获VPN同行并在 Wireshark 中并排打开它们
比较 Wireshark 的第 1 阶段加密不匹配

ikemgr.log
通过运行以下命令CLI在两个同行

>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
注意:如果将 ikemgr 置于调试级别,则可以看到更多信息,但如上所示的数据包捕获足以诊断和解决此问题


Environment


PAN-OS
帕洛阿尔托网络firewall配置了 IPSecVPN隧道


Cause


当两个VPN对等点的加密算法不匹配

Resolution


  1. 配置两者VPN同行有一个匹配加密算法
匹配加密阶段 1 gui 截图
(在上面的例子中,两个帕洛阿尔托网络防火墙被用作VPN同行。 如果你的VPN同行是不同的供应商firewall, 执行他们的等效/相同阶段 1加密他们的配置更改firewall如果它们是不匹配的来源)
  1. 执行一个犯罪
  2. 每次运行以下命令几次两个都VPN同行firewallCLI让他们重新开始和形成 VPN
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
 
 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wl9BCAQ&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language