IPSec-Phase-2-Aushandlung schlägt mit " Protokollbenachrichtigungsnachricht empfangen: empfangene Benachrichtigung Typ NO_PROPOSAL_CHOSEN"IKE fehl - Verschlüsselungskonflikt in Phase 2
50136
Created On 08/02/22 18:40 PM - Last Modified 05/27/25 21:56 PM
Symptom
- VPN Tunnel kam nicht hoch oder ging runter
- Systemprotokolle, die " Protokollbenachrichtigung empfangen: empfangene Benachrichtigung Typ NO_PROPOSAL_CHOSEN"IKE anzeigen
- Systemprotokolle mit der Meldung "Meldung fehlt IDr-Nutzlast"
- CLI Befehlsausgaben auf den beiden Peer-Firewalls anzeigen, die unterschiedliche Verschlüsselungsalgorithmen zeigen (Beispiel: AES-256 vs. 3DES)
- >weniger mp-log ikemgr.log die "IKEv2-Vorschlag stimmt nicht überein, bitte überprüfen Sie die Krypto-Einstellungen auf beiden Seiten" anzeigt.
- >weniger mp-log ikemgr.log die "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen anzeigt, müssen Sie möglicherweise die Einstellungen überprüfen IKE "
- Diese Verschlüsselungsdiskrepanz in Phase 2 (IPSec-Kryptoprofil) ist in einer Paketerfassung nicht sichtbar (es sei denn, pcap wird manuell entschlüsselt), daher ist es am besten, nur Befehle zu verwenden CLI / die Konfigurationen beider Seiten manuell zu überprüfen, um diese nicht übereinstimmende Konfiguration zu identifizieren und zu beheben
Web UI
Navigieren Sie zu Netzwerk > IPSec-Kryptowährungsprofil > bearbeiten Sie das IPSec-Kryptowährungsprofil > bearbeiten Sie die Verschlüsselung Führen Sie auf beiden VPN Peers die
CLI
folgenden Befehle über CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][3DES][SHA512]
Systemprotokolle
Navigieren Sie zu Überwachen > Systemprotokolle
Wireshark Nehmen Sie eine Paketerfassung auf beiden VPN Peers vor und öffnen Sie sie in Wireshark nebeneinanderHinweis: Dies wird standardmäßig nicht in Wireshark
angezeigt. Sie müssen über ikemgr-Protokolle auf Dump-Ebene von beiden VPN Peers verfügen, um die Pakete in Wireshark zu entschlüsseln. Dies kann mit den folgenden Schritten erfolgen (wenn VPN es sich bei dem Peer um einen Drittanbieter handelt, verwenden Sie dessen Prozess, um gleichzeitig die Verschlüsselungsschlüssel zu erfassen)
ikemgr.log
Führen Sie den folgenden Befehl über CLI auf beiden Peers aus
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind
Cause
Dieses Problem tritt auf, wenn die beiden VPN Peers im Verschlüsselungsalgorithmus nicht übereinstimmen
Resolution
- Konfigurieren Sie beide Seiten so VPN , dass sie über einen übereinstimmenden Verschlüsselungsalgorithmus verfügen
(Wenn es sich bei Ihrem Peer um einen anderen Anbieter firewallhandelt, führen Sie VPN die entsprechende Konfigurationsänderung für die Phase 2-Verschlüsselung durchfirewall, wenn sie die Quelle der Nichtübereinstimmung sind.)
- Ausführen eines Commits
- Führen Sie die folgenden Befehle jeweils einige Male auf beiden VPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>