IPSec 第 1 阶段协商失败,系统日志中显示“NO_PROPOSAL_CHOSEN”-第 1 阶段加密不匹配
12840
Created On 07/27/22 22:09 PM - Last Modified 05/09/23 06:01 AM
Symptom
- VPN 隧道不上或下
- 系统日志显示“未选择任何提案”。
- 系统日志显示“<IKEGateway> 收到未经身份验证的 NO_PROPOSAL_CHOSEN,您可能需要检查IKE设置”
- CLI 在显示不同加密算法的两个对等防火墙上显示命令输出(示例:AES-256与 3DES)
- 数据包捕获显示“NO_PROPOSAL_CHOSEN”IKE数据包(UDP端口 500)
网络UI
导航网络 >IKE加密简介 >编辑IKE加密资料>编辑加密
系统日志
导航监控 > 系统日志
CLI
双方VPN同行,通过运行以下命令 CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][3DES][SHA512]
线鲨
在两者上进行数据包捕获VPN同行并在 Wireshark 中并排打开它们
ikemgr.log
通过运行以下命令CLI在两个同行
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.注意:如果将 ikemgr 置于调试级别,则可以看到更多信息,但如上所示的数据包捕获足以诊断和解决此问题
Environment
PAN-OS
帕洛阿尔托网络firewall配置了 IPSecVPN隧道
Cause
当两个VPN对等点的加密算法不匹配
Resolution
- 配置两者VPN同行有一个匹配加密算法
(在上面的例子中,两个帕洛阿尔托网络防火墙被用作VPN同行。 如果你的VPN同行是不同的供应商firewall, 执行他们的等效/相同阶段 1加密他们的配置更改firewall如果它们是不匹配的来源)
- 执行一个犯罪
- 每次运行以下命令几次两个都VPN同行firewallCLI让他们重新开始和形成 VPN
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>