Die IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - DH Gruppenkonflikt in Phase 1

Die IPSec-Phase-1-Aushandlung schlägt fehl, da "NO_PROPOSAL_CHOSEN" in den Systemprotokollen angezeigt wird - DH Gruppenkonflikt in Phase 1

40668
Created On 08/02/22 18:18 PM - Last Modified 05/27/25 21:35 PM


Symptom


  • VPN Tunnel kam nicht hoch oder ging runter
  • Systemprotokolle, die "kein Vorschlag ausgewählt" anzeigen.
  • Systemprotokolle, die "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen anzeigen, müssen Sie möglicherweise die Einstellungen überprüfen IKE .
  • CLI Befehlsausgaben auf den beiden Peer-Firewalls anzeigen, die unterschiedliche DH Gruppen anzeigen (Beispiel: DH Gruppe 20 vs DH . Gruppe 14)
  • Paketerfassung mit "NO_PROPOSAL_CHOSEN" in den IKE Paketen (UDP Port 500)

Web UI
Navigieren Sie zu Network > Crypto Profile > bearbeiten Sie IKE das Crypto Profile > IKE bearbeiten Sie die Gruppe Führen Sie auf beiden VPN Peers DH die
Vergleich des Webs GUI mit der Nichtübereinstimmung der DH Gruppenphase 1

CLI
folgenden Befehle über CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH19][AES256][SHA512]


Systemprotokolle
Navigieren Sie zu Überwachen > Systemprotokolle
Vergleichen von Systemprotokollen für Phase-1-Gruppenkonflikte DH

Wireshark Nehmen Sie eine Paketerfassung auf beiden Peers vor und öffnen Sie sie in Wireshark
nebeneinander
Vergleich von Wireshark für Phase-1-Gruppeninkongruenzen DH
. Dies führt dazu, dass die VPN Aushandlung mit dieser Meldung fehlschlägt:
Vergleich von Wireshark für Phase-1-Gruppeninkongruenzen DH von 2 NO_PROPOSAL_CHOSEN

ikemgr.log
Führen Sie den folgenden Befehl über CLI auf beiden VPN Peers aus

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

 

Environment


  • PAN-OS
  • Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind

Cause


Dieses Problem tritt auf, wenn die beiden VPN Peers in DH der Gruppe nicht übereinstimmen

Resolution


  1. Konfigurieren Sie beide Seiten so VPN , dass sie über einen übereinstimmenden DH Gruppenalgorithmus verfügen

Vergleichen von Screenshots für Phase 1-Gruppenabgleich DH im Web GUI
(Wenn es sich bei Ihrem Peer um einen anderen Anbieter firewallhandelt, führen Sie VPN die entsprechende Konfigurationsänderung der DH Phase-1-Gruppe durchfirewall, wenn sie die Ursache für die Nichtübereinstimmung sind.)

  1. Ausführen eines Commits
  2. Führen Sie die folgenden Befehle jeweils einige Male auf beiden VPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlD8CAI&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language