IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - Authentifizierungskonflikt in Phase 1
9688
Created On 07/28/22 21:13 PM - Last Modified 05/09/23 05:55 AM
Symptom
- VPN Tunnel kam nicht hoch oder ging runter
- Systemprotokolle, die "kein Vorschlag ausgewählt" anzeigen.
- Systemprotokolle, die "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen anzeigen, müssen Sie möglicherweise die Einstellungen überprüfen IKE .
- CLI Befehlsausgaben auf den beiden Peer-Firewalls anzeigen, die unterschiedliche Authentifizierungsalgorithmen zeigen (Beispiel: SHA-512 vs. SHA-384)
- Paketerfassung mit "NO_PROPOSAL_CHOSEN" in den IKE Paketen (UDP Port 500)
Navigieren Sie zu Network > Crypto Profile > bearbeiten Sie IKE das Crypto Profile > IKE bearbeiten Sie die Authentifizierung
CLI
Führen Sie auf beiden VPN Peers die folgenden Befehle über CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][AES256][SHA384]
Systemprotokolle
Navigieren Sie zu Überwachen > Systemprotokolle
Wireshark Nehmen Sie eine Paketerfassung auf beiden Peers vor und öffnen Sie sie in Wireshark
nebeneinander
. Dies führt dazu, dass die VPN Aushandlung mit dieser Meldung fehlschlägt:
ikemgr.log
Führen Sie den folgenden Befehl über CLI auf beiden VPN Peers aus
>less mp-log ikemgr.log
2022-06-27 12:44:49 [PWRN]: [IKEGatewayTest1:342] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:44:49 [PERR]: no proposal chosen. 2022-06-27 12:44:52 [PWRN]: [IKEGatewayTest1:341] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind
Cause
Dieses Problem tritt auf, wenn die beiden VPN Peers im Authentifizierungsalgorithmus nicht übereinstimmen
Resolution
- Konfigurieren Sie beide Seiten so VPN , dass sie über einen übereinstimmenden Authentifizierungsalgorithmus verfügen
(Wenn es sich bei Ihrem Peer um einen anderen Anbieter firewallhandelt, führen Sie VPN die entsprechende Konfigurationsänderung für die Phase-1-Authentifizierung durchfirewall, wenn sie die Ursache für die Nichtübereinstimmung sind.)
- Ausführen eines Commits
- Führen Sie die folgenden Befehle jeweils einige Male auf beiden VPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>