システム ログに「NO_PROPOSAL_CHOSEN」が表示されて IPSec フェーズ 1 ネゴシエーションが失敗する - フェーズ 1 での認証の不一致
9694
Created On 07/28/22 21:13 PM - Last Modified 05/09/23 06:01 AM
Symptom
- VPN トンネルが上がらない、または下った
- 「提案が選択されていません」を示すシステム ログ。
- 「<IKEGateway> unauthenticated NO_PROPOSAL_CHOSEN を受信したことを示すシステム ログ。確認が必要な場合があります。IKE設定"
- CLI 異なる認証アルゴリズムを示す 2 つのピア ファイアウォールの show コマンド出力 (例:SHA-512対。SHA-384 )
- 「NO_PROPOSAL_CHOSEN」を示すパケットキャプチャIKEパケット (UDPポート 500)
案内するネットワーク >IKE暗号プロファイル >編集IKEクリプト プロファイル>編集認証
CLI
両方にVPNピアで、以下のコマンドを実行します CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][AES256][SHA384]
システムログ
案内する監視 > システムログ
ワイヤーシャーク
両方でパケット キャプチャを実行するVPNピアに接続し、それらを Wireshark で並べて開きます
これにより、VPNネゴシエーションは次のメッセージで失敗します:
ikemgr.log
以下のコマンドを実行しますCLI両方のピアで
>less mp-log ikemgr.log
2022-06-27 12:44:49 [PWRN]: [IKEGatewayTest1:342] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:44:49 [PERR]: no proposal chosen. 2022-06-27 12:44:52 [PWRN]: [IKEGatewayTest1:341] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル
Cause
この問題は、2 つのVPNピアの認証アルゴリズムが一致していません
Resolution
- の両側を構成します。VPNマッチングする認証アルゴリズム
(もしあなたのVPNピアは別のベンダーですfirewall、同等/同じフェーズ 1 を実行する認証構成の変更firewallそれらが不一致の原因である場合)
- 実行する専念
- 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>