La négociation IPSec Phase 1 échoue avec le « NO_PROPOSAL_CHOSEN » affiché dans les journaux système - Incompatibilité d’authentification dans la phase 1
9682
Created On 07/28/22 21:13 PM - Last Modified 05/09/23 06:01 AM
Symptom
- VPN Le tunnel ne monte pas ou ne descend pas
- Journaux système indiquant « Aucune proposition choisie ».
- Journaux système affichant « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »
- CLI afficher les sorties de commandes sur les deux pare-feu homologues montrant des algorithmes d’authentification différents (Exemple: SHA-512 vs. SHA-384)
- Packet Capture montrant « NO_PROPOSAL_CHOSEN » dans les IKE paquets (UDP port 500)
Accédez à Profil de chiffrement > IKE réseau > modifiez le IKE profil de chiffrement > modifiez l’authentification
CLI
Sur les deux homologues, exécutez la ou les VPN commandes ci-dessous via CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][AES256][SHA384]
Journaux système
Accédez à Surveiller > journaux système
Wireshark Prenez une capture de paquets sur les deux pairs et ouvrez-les côte à côte
dans Wireshark
Cela entraînera l’échec de la négociation avec ce message:
ikemgr.log
Exécutez la VPN commande ci-dessous via CLI sur les deux VPN pairs
>less mp-log ikemgr.log
2022-06-27 12:44:49 [PWRN]: [IKEGatewayTest1:342] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:44:49 [PERR]: no proposal chosen. 2022-06-27 12:44:52 [PWRN]: [IKEGatewayTest1:341] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Networks firewall configuré avec IPSec VPN Tunnel
Cause
Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans l’algorithme d’authentification
Resolution
- Configurer les deux côtés du pour VPN avoir un algorithme d’authentification correspondant
(Si votre VPN homologue est un fournisseur firewalldifférent, effectuez sa modification de configuration d’authentification équivalente/identique de phase 1 sur son firewall s’il est à l’origine de l’incompatibilité)
- Effectuer une validation
- Exécutez les commandes ci-dessous plusieurs fois chacune sur les deux CLI homologues firewall pour les initier et les VPN former :
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>