IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - Authentifizierungskonflikt in Phase 1

IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - Authentifizierungskonflikt in Phase 1

9688
Created On 07/28/22 21:13 PM - Last Modified 05/09/23 05:55 AM


Symptom


  • VPN Tunnel kam nicht hoch oder ging runter
  • Systemprotokolle, die "kein Vorschlag ausgewählt" anzeigen.
  • Systemprotokolle, die "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen anzeigen, müssen Sie möglicherweise die Einstellungen überprüfen IKE .
  • CLI Befehlsausgaben auf den beiden Peer-Firewalls anzeigen, die unterschiedliche Authentifizierungsalgorithmen zeigen (Beispiel: SHA-512 vs. SHA-384)
  • Paketerfassung mit "NO_PROPOSAL_CHOSEN" in den IKE Paketen (UDP Port 500)
Web UI
Navigieren Sie zu Network > Crypto Profile > bearbeiten Sie IKE das Crypto Profile > IKE bearbeiten Sie die Authentifizierung
Vergleich von Web UI mit Phase-1-Authentifizierungskonflikten

CLI
Führen Sie auf beiden VPN Peers die folgenden Befehle über CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][AES256][SHA384]


Systemprotokolle
Navigieren Sie zu Überwachen > Systemprotokolle
Vergleichen von Systemprotokollen auf Phase-1-Authentifizierungskonflikte

Wireshark Nehmen Sie eine Paketerfassung auf beiden Peers vor und öffnen Sie sie in Wireshark
nebeneinander
Vergleich von Wireshark mit Phase-1-Authentifizierungskonflikten
. Dies führt dazu, dass die VPN Aushandlung mit dieser Meldung fehlschlägt:
Wireshark kein Vorschlag Phase 1 Authentifizierung

ikemgr.log
Führen Sie den folgenden Befehl über CLI auf beiden VPN Peers aus

>less mp-log ikemgr.log
2022-06-27 12:44:49 [PWRN]: [IKEGatewayTest1:342] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:44:49 [PERR]: no proposal chosen.
2022-06-27 12:44:52 [PWRN]: [IKEGatewayTest1:341] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.


Environment


  • PAN-OS
  • Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind


Cause


Dieses Problem tritt auf, wenn die beiden VPN Peers im Authentifizierungsalgorithmus nicht übereinstimmen

Resolution


  1. Konfigurieren Sie beide Seiten so VPN , dass sie über einen übereinstimmenden Authentifizierungsalgorithmus verfügen

Vergleich GUI für Übereinstimmung Authentifizierungsphase 1
(Wenn es sich bei Ihrem Peer um einen anderen Anbieter firewallhandelt, führen Sie VPN die entsprechende Konfigurationsänderung für die Phase-1-Authentifizierung durchfirewall, wenn sie die Ursache für die Nichtübereinstimmung sind.)

  1. Ausführen eines Commits
  2. Führen Sie die folgenden Befehle jeweils einige Male auf beiden VPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlAsCAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language