La negociación de la fase 1 de IPSec falla con "NO_PROPOSAL_CHOSEN" visto en los registros del sistema: DH no coincide el grupo en la fase 1

La negociación de la fase 1 de IPSec falla con "NO_PROPOSAL_CHOSEN" visto en los registros del sistema: DH no coincide el grupo en la fase 1

40668
Created On 08/02/22 18:18 PM - Last Modified 05/27/25 21:35 PM


Symptom


  • VPN El túnel no subió o bajó
  • Registros del sistema que muestran "ninguna propuesta elegida".
  • Registros del sistema que muestran "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"
  • CLI mostrar salidas de comandos en los dos firewalls del mismo nivel que muestran diferentes DH grupos (ejemplo: DH grupo 20 frente al DH grupo 14)
  • Captura de paquetes que muestra "NO_PROPOSAL_CHOSEN" en los IKE paquetes (UDP puerto 500)

Telaraña UI
Vaya a Network > Crypto DH
Comparación de Web GUI para DH la discrepancia de la fase de grupos 1

CLI
Profile > edite IKE Crypto Profile > IKE edite Group En ambos VPN pares, ejecute los siguientes comandos a través de CLI

>show vpn gateway name <name>

FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]

FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH19][AES256][SHA512]


Registros del sistema
Vaya a Supervisar > registros del sistema
Comparación de registros del sistema para la discrepancia de grupo de la fase 1 DH

Wireshark
Tome una captura de paquetes en ambos pares y ábralos en Wireshark en paralelo Esto hará que la VPN negociación falle con este mensaje:
Comparando Wireshark para la Fase 1 DH Desajuste de grupo 2 NO_PROPOSAL_CHOSEN

ikemgr.log
Ejecute el siguiente comando a través de CLI en
Comparando Wireshark para la Fase 1 DH Desajuste de grupo
ambos VPN pares


>less mp-log ikemgr.log


2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

 

Environment


  • PAN-OS
  • Palo Alto Networks firewall configurado con túnel IPSec VPN

Cause


Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en DH el grupo

Resolution


  1. Configurar ambos lados del VPN para tener un algoritmo de DH grupo coincidente

Comparación de capturas de pantalla de coincidencia de grupo de fase 1 DH en Web GUI
(Si su interlocutor es un proveedor firewalldiferente, realice su cambio de configuración de DH grupo de fase 1 equivalente/mismo en su firewall VPN si es el origen de la discrepancia)

  1. Realizar una confirmación
  2. Ejecute los siguientes comandos un par de veces cada uno en ambas CLI del VPN mismo nivel firewall para que se inicien y formen recientemente:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlD8CAI&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language