IPSec フェーズ 2 ネゴシエーションが失敗し、"IKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました" - フェーズ 2 での暗号化の不一致

IPSec フェーズ 2 ネゴシエーションが失敗し、"IKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました" - フェーズ 2 での暗号化の不一致

33492
Created On 08/02/22 18:40 PM - Last Modified 05/09/23 05:55 AM


Symptom


  • VPN トンネルが上がらない、または下った
  • 「」を示すシステムログIKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました"
  • 「メッセージに IDR ペイロードがない」ことを示すシステム ログ
  • CLI 異なる暗号化アルゴリズムを示す 2 つのピア ファイアウォールの show コマンド出力 (例:AES-256対 3DES)
  • >以下の mp-log ikemgr.log 「IKEv2 プロポーザルが一致しません。両側の暗号設定を確認してください。」
  • >以下の mp-log ikemgr.log 「<IKEGateway> unauthenticated NO_PROPOSAL_CHOSEN を受信しました。確認が必要な場合があります。IKE設定"
  • フェーズ 2 (IPSec 暗号化プロファイル) でのこの暗号化の不一致は、パケット キャプチャでは表示されません (pcap が手動で復号化されない限り)。CLIコマンド/両側の構成を手動でチェックして、この不一致の構成を特定して解決します

ウェブUI
案内するネットワーク > IPSec 暗号プロファイル >編集IPSec クリプト プロファイル>編集暗号化
ウェブ比較UI暗号化フェーズ 2

CLI
両方にVPNピアで、以下のコマンドを実行します CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH20][3DES][SHA512]


システムログ
案内する監視 > システムログ
フェーズ 2 暗号化の不一致に関するシステム ログの比較

ワイヤーシャーク
両方でパケットキャプチャを取得しますVPNピアに接続し、それらを Wireshark で並べて開きます
フェーズ 2 暗号化の不一致について Wireshark を比較する注: これはデフォルトでは Wireshark に表示されません。 両方からダンプレベルのikemgrログが必要ですVPNWireshark でパケットを復号化するためのピア。 これは、手順を使用して行うことができますここ(もしもVPNピアはサードパーティであり、そのプロセスを使用して暗号化キーを同時に取得します)

ikemgr.log
以下のコマンドを実行しますCLI両方のピアで

>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]:  Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

 



Environment


  • PAN-OS
  • パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル


Cause


この問題は、2 つのVPNピアの暗号化アルゴリズムに不一致があります

Resolution


  1. の両側を構成します。VPNマッチングする暗号化アルゴリズム
Web でのフェーズ 2 暗号化の一致の比較 UI
(もしあなたのVPNピアは別のベンダーですfirewall、同等/同じフェーズ 2 を実行する暗号化構成の変更firewallそれらが不一致の原因である場合)
  1. 実行する専念
  2. 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDDCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language