La négociation IPSec Phase 1 échoue avec le « NO_PROPOSAL_CHOSEN » affiché dans les journaux système - Incompatibilité d’authentification dans la phase 1

La négociation IPSec Phase 1 échoue avec le « NO_PROPOSAL_CHOSEN » affiché dans les journaux système - Incompatibilité d’authentification dans la phase 1

9682
Created On 07/28/22 21:13 PM - Last Modified 05/09/23 06:01 AM


Symptom


  • VPN Le tunnel ne monte pas ou ne descend pas
  • Journaux système indiquant « Aucune proposition choisie ».
  • Journaux système affichant « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »
  • CLI afficher les sorties de commandes sur les deux pare-feu homologues montrant des algorithmes d’authentification différents (Exemple: SHA-512 vs. SHA-384)
  • Packet Capture montrant « NO_PROPOSAL_CHOSEN » dans les IKE paquets (UDP port 500)
Web UI
Accédez à Profil de chiffrement > IKE réseau > modifiez le IKE profil de chiffrement > modifiez l’authentification
Comparaison de l’incompatibilité d’authentification Web UI pour Phase 1

CLI
Sur les deux homologues, exécutez la ou les VPN commandes ci-dessous via CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][AES256][SHA384]


Journaux système
Accédez à Surveiller > journaux système
Comparaison des journaux système pour l’incompatibilité d’authentification de phase 1

Wireshark Prenez une capture de paquets sur les deux pairs et ouvrez-les côte à côte
Comparaison de Wireshark pour l’incompatibilité d’authentification de phase 1
dans Wireshark
Cela entraînera l’échec de la négociation avec ce message:
Wireshark aucune proposition phase 1 d’authentification

ikemgr.log
Exécutez la VPN commande ci-dessous via CLI sur les deux VPN pairs

>less mp-log ikemgr.log
2022-06-27 12:44:49 [PWRN]: [IKEGatewayTest1:342] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:44:49 [PERR]: no proposal chosen.
2022-06-27 12:44:52 [PWRN]: [IKEGatewayTest1:341] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.


Environment


  • PAN-OS
  • Palo Alto Networks firewall configuré avec IPSec VPN Tunnel


Cause


Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans l’algorithme d’authentification

Resolution


  1. Configurer les deux côtés du pour VPN avoir un algorithme d’authentification correspondant

Comparaison GUI pour l’appariement Phase 1 de l’authentification
(Si votre VPN homologue est un fournisseur firewalldifférent, effectuez sa modification de configuration d’authentification équivalente/identique de phase 1 sur son firewall s’il est à l’origine de l’incompatibilité)

  1. Effectuer une validation
  2. Exécutez les commandes ci-dessous plusieurs fois chacune sur les deux CLI homologues firewall pour les initier et les VPN former :
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlAsCAI&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language