La negociación de la fase 1 de IPSec falla con "NO_PROPOSAL_CHOSEN" visto en los registros del sistema: no coincide la autenticación en la fase 1

La negociación de la fase 1 de IPSec falla con "NO_PROPOSAL_CHOSEN" visto en los registros del sistema: no coincide la autenticación en la fase 1

9694
Created On 07/28/22 21:13 PM - Last Modified 05/09/23 06:02 AM


Symptom


  • VPN El túnel no subió o bajó
  • Registros del sistema que muestran "ninguna propuesta elegida".
  • Registros del sistema que muestran "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"
  • CLI mostrar salidas de comandos en los dos firewalls del mismo nivel que muestran diferentes algoritmos de autenticación (Ejemplo: SHA-512 vs. SHA-384)
  • Captura de paquetes que muestra "NO_PROPOSAL_CHOSEN" en los IKE paquetes (UDP puerto 500)
Telaraña UI
Vaya a Network > Crypto Profile > edite Crypto Profile > IKE edite la IKE autenticación
Comparación de la Web UI para la falta de coincidencia de autenticación de fase 1

CLI
En ambos VPN pares, ejecute los siguientes comandos a través de CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][AES256][SHA384]


Registros del sistema
Vaya a Supervisar > registros del sistema
Comparación de registros del sistema para la falta de coincidencia de autenticación de fase 1

Wireshark
Tome una captura de paquetes en ambos pares y ábralos en Wireshark en paralelo Esto hará que la VPN negociación falle con este mensaje:
Wireshark sin propuesta de autenticación fase 1

ikemgr.log
Ejecute el siguiente comando a través de CLI en
Comparación de Wireshark para la falta de coincidencia de autenticación de fase 1
ambos VPN pares

>less mp-log ikemgr.log

2022-06-27 12:44:49 [PWRN]: [IKEGatewayTest1:342] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:44:49 [PERR]: no proposal chosen.
2022-06-27 12:44:52 [PWRN]: [IKEGatewayTest1:341] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.


Environment


  • PAN-OS
  • Palo Alto Networks firewall configurado con túnel IPSec VPN

Cause


Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en el algoritmo de autenticación

Resolution


  1. Configure ambos lados del VPN para que tengan un algoritmo de autenticación coincidente

Comparación GUI para la fase de autenticación coincidente 1
(Si su par es un proveedor firewalldiferente, realice su cambio de configuración de autenticación de fase 1 equivalente/mismo en su firewall VPN si es el origen de la discrepancia)

  1. Realizar una confirmación
  2. Ejecute los siguientes comandos un par de veces cada uno en ambas CLI del VPN mismo nivel firewall para que se inicien y formen recientemente:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlAsCAI&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language