La négociation IPSec Phase 1 échoue avec le « NO_PROPOSAL_CHOSEN » affiché dans les journaux système - DH Incompatibilité de groupe dans la phase 1

La négociation IPSec Phase 1 échoue avec le « NO_PROPOSAL_CHOSEN » affiché dans les journaux système - DH Incompatibilité de groupe dans la phase 1

40666
Created On 08/02/22 18:18 PM - Last Modified 05/27/25 21:35 PM


Symptom


  • VPN Le tunnel ne monte pas ou ne descend pas
  • Journaux système indiquant « Aucune proposition choisie ».
  • Journaux système affichant « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »
  • CLI afficher les sorties de commandes sur les deux pare-feu homologues affichant des groupes différents DH (exemple : DH Groupe 20 vs DH Groupe 14)
  • Packet Capture montrant « NO_PROPOSAL_CHOSEN » dans les IKE paquets (UDP port 500)

Web UI
Accédez à Profil de chiffrement réseau > DH
Comparaison des incompatibilités Web GUI pour DH la phase 1 de groupe

CLI
IKE IKE > modifier le profil de chiffrement > modifier le groupe Sur les deux homologues, exécutez la ou les VPN commandes ci-dessous via CLI

>show vpn gateway name <name>

FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]

FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH19][AES256][SHA512]


Journaux système
Accédez à Surveiller > journaux système
Comparaison des journaux système pour l’incompatibilité de groupe de phase 1 DH

Wireshark Prenez une capture de paquets sur les deux pairs et ouvrez-les côte à côte
Comparaison de Wireshark pour l’incompatibilité de groupe de phase 1 DH
dans Wireshark
Cela entraînera l’échec de la négociation avec ce message:
Comparaison de Wireshark pour le décalage de groupe de phase 1 DH 2 NO_PROPOSAL_CHOSEN

ikemgr.log
Exécutez la VPN commande ci-dessous via CLI sur les deux VPN pairs


>less mp-log ikemgr.log


2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

 

Environment


  • PAN-OS
  • Palo Alto Networks firewall configuré avec IPSec VPN Tunnel

Cause


Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans DH le groupe

Resolution


  1. Configurer les deux côtés du pour VPN avoir un algorithme DH de groupe correspondant

Comparaison des captures d’écran de la phase 1 DH correspondant aux groupes sur le Web GUI
(Si votre VPN homologue est un fournisseur firewalldifférent, effectuez sa modification de configuration équivalente/identique à la phase 1 du DH groupe s’il est à firewall l’origine de l’incompatibilité)

  1. Effectuer une validation
  2. Exécutez les commandes ci-dessous plusieurs fois chacune sur les deux CLI homologues firewall pour les initier et les VPN former :
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlD8CAI&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language