La négociation IPSec Phase 2 échoue avec «IKE Message de notification de protocole reçu : type de notification reçue NO_PROPOSAL_CHOSEN » - Incompatibilité de chiffrement dans la phase 2
33502
Created On 08/02/22 18:40 PM - Last Modified 05/09/23 05:59 AM
Symptom
- VPN Le tunnel ne monte pas ou ne descend pas
- Journaux système affichant «IKE message de notification de protocole reçu : type de notification reçue NO_PROPOSAL_CHOSEN »
- Journaux système affichant « message manque de charge utile IDr »
- CLI afficher les sorties de commande sur les deux pare-feu homologues montrant des algorithmes de chiffrement différents (Exemple : AES-256 vs 3DES)
- >moins mp-log ikemgr.log montrant « La proposition IKEv2 ne correspond pas, veuillez vérifier le paramètre crypto des deux côtés. »
- >sans mp-log ikemgr.log affichant « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »
- Cette incompatibilité de chiffrement dans la phase 2 (profil cryptographique IPSec) ne sera pas visible dans une capture de paquets (sauf si pcap est déchiffré manuellement), il est donc préférable d'utiliser CLI simplement des commandes / vérifier manuellement les configurations des deux côtés pour identifier et résoudre cette configuration incompatible.
Web UI
Accédez à Profil de chiffrement IPSec > réseau > modifiez le profil de chiffrement IPSec > modifiez le cryptage
CLI
Sur les deux homologues, exécutez la ou les VPN commandes ci-dessous via CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][3DES][SHA512]
Journaux système
Accédez à Surveiller > journaux système
Wireshark Prenez une capture de paquets sur les deux pairs et ouvrez-les VPN côte à côtedans Wireshark Remarque: Cela n’apparaîtra pas dans Wireshark
par défaut. Vous devez disposer de journaux ikemgr au niveau du vidage des deux VPN pairs pour déchiffrer les paquets dans Wireshark. Cela peut être fait en suivant les étapes décrites ici (si VPN l’homologue est un tiers, utilisez leur processus pour capturer les clés de cryptage en même temps)
ikemgr.log
Exécutez la commande ci-dessous via CLI sur les deux pairs
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Networks firewall configuré avec IPSec VPN Tunnel
Cause
Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans l’algorithme de chiffrement
Resolution
- Configurer les deux côtés du pour VPN avoir un algorithme de chiffrement correspondant
(Si votre VPN homologue est un fournisseur firewalldifférent, effectuez sa modification de configuration équivalente/identique à la phase 2 du chiffrement sur son firewall s’il est à l’origine de l’incompatibilité)
- Effectuer une validation
- Exécutez les commandes ci-dessous plusieurs fois chacune sur les deux CLI homologues firewall pour les initier et les VPN former :
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>