La negociación de la fase 2 de IPSec falla con "mensaje de notificación de protocolo recibido: tipo de notificación recibida NO_PROPOSAL_CHOSEN"IKE - Discrepancia de cifrado en la fase 2
33500
Created On 08/02/22 18:40 PM - Last Modified 05/09/23 06:00 AM
Symptom
- VPN El túnel no subió o bajó
- Registros del sistema que muestran "mensaje de notificación de protocolo recibido: tipo de notificación recibida NO_PROPOSAL_CHOSEN"IKE
- Registros del sistema que muestran "el mensaje carece de carga útil IDr"
- CLI mostrar salidas de comandos en los dos firewalls del mismo nivel que muestran diferentes algoritmos de cifrado (Ejemplo: AES-256 vs. 3DES)
- >menos mp-log ikemgr.log que muestra "La propuesta de IKEv2 no coincide, verifique la configuración criptográfica en ambos lados".
- >menos mp-log ikemgr.log que muestra "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"
- Esta falta de coincidencia de cifrado en la Fase 2 (IPSec Crypto Profile) no será visible en una captura de paquetes (a menos que pcap se descifre manualmente), por lo que es mejor usar CLI comandos / verificar manualmente las configuraciones de ambos lados para identificar y resolver esta configuración no coincidente.
Telaraña UI
Vaya a Network > IPSec Crypto Profile > edite IPSec Crypto Profile > edite Encryption
CLI
En ambos VPN pares, ejecute los siguientes comandos a través de CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][3DES][SHA512]
Registros del sistema
Vaya a Supervisar > registros del sistema
Wireshark Tome una captura de paquetes en ambos VPN pares y ábralos en Wireshark en paralelo Nota: Esto no aparecerá enWireshark
de forma predeterminada. Debe tener registros ikemgr de nivel de volcado de ambos VPN pares para descifrar los paquetes en Wireshark. Esto se puede hacer siguiendo los pasos aquí (si VPN peer es de terceros, use su proceso para capturar las claves de cifrado al mismo tiempo)
ikemgr.log
Ejecute el siguiente comando a través de CLI en ambos pares
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Networks firewall configurado con túnel IPSec VPN
Cause
Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en el algoritmo de cifrado
Resolution
- Configure ambos lados del VPN para que tengan un algoritmo de cifrado coincidente
(Si su par es un proveedor firewalldiferente, realice su cambio de configuración de cifrado de fase 2 equivalente/igual en su firewall VPN si es el origen de la discrepancia)
- Realizar una confirmación
- Ejecute los siguientes comandos un par de veces cada uno en ambas CLI del VPN mismo nivel firewall para que se inicien y formen recientemente:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>