IPSec フェーズ 2 ネゴシエーションが失敗し、"IKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました" - フェーズ 2 での暗号化の不一致
33492
Created On 08/02/22 18:40 PM - Last Modified 05/09/23 05:55 AM
Symptom
- VPN トンネルが上がらない、または下った
- 「」を示すシステムログIKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました"
- 「メッセージに IDR ペイロードがない」ことを示すシステム ログ
- CLI 異なる暗号化アルゴリズムを示す 2 つのピア ファイアウォールの show コマンド出力 (例:AES-256対 3DES)
- >以下の mp-log ikemgr.log 「IKEv2 プロポーザルが一致しません。両側の暗号設定を確認してください。」
- >以下の mp-log ikemgr.log 「<IKEGateway> unauthenticated NO_PROPOSAL_CHOSEN を受信しました。確認が必要な場合があります。IKE設定"
- フェーズ 2 (IPSec 暗号化プロファイル) でのこの暗号化の不一致は、パケット キャプチャでは表示されません (pcap が手動で復号化されない限り)。CLIコマンド/両側の構成を手動でチェックして、この不一致の構成を特定して解決します
ウェブUI
案内するネットワーク > IPSec 暗号プロファイル >編集IPSec クリプト プロファイル>編集暗号化
CLI
両方にVPNピアで、以下のコマンドを実行します CLI
>show vpn gateway name <name>
FW1> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.200 203.0.113.100 [PSK][DH20][AES256][SHA512]
FW2> show vpn gateway name IKEGatewayTest1
GwID Name Peer-Address/ID Local Address/ID Proposals
1 IKEGatewayTest1 203.0.113.100 203.0.113.200 [PSK][DH20][3DES][SHA512]
システムログ
案内する監視 > システムログ
ワイヤーシャーク
両方でパケットキャプチャを取得しますVPNピアに接続し、それらを Wireshark で並べて開きます
注: これはデフォルトでは Wireshark に表示されません。 両方からダンプレベルのikemgrログが必要ですVPNWireshark でパケットを復号化するためのピア。 これは、手順を使用して行うことができますここ(もしもVPNピアはサードパーティであり、そのプロセスを使用して暗号化キーを同時に取得します)
ikemgr.log
以下のコマンドを実行しますCLI両方のピアで
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル
Cause
この問題は、2 つのVPNピアの暗号化アルゴリズムに不一致があります
Resolution
- の両側を構成します。VPNマッチングする暗号化アルゴリズム
(もしあなたのVPNピアは別のベンダーですfirewall、同等/同じフェーズ 2 を実行する暗号化構成の変更firewallそれらが不一致の原因である場合)
- 実行する専念
- 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>