IPSec-Phase-2-Aushandlung schlägt mit " Protokollbenachrichtigungsnachricht empfangen: empfangene Benachrichtigung Typ NO_PROPOSAL_CHOSEN"IKE fehl - Authentifizierungskonflikt in Phase 2
15578
Created On 08/02/22 18:45 PM - Last Modified 05/09/23 06:01 AM
Symptom
- VPN Tunnel kam nicht hoch oder ging runter
- Systemprotokolle, die " Protokollbenachrichtigung empfangen: empfangene Benachrichtigung Typ NO_PROPOSAL_CHOSEN"IKE anzeigen
- Systemprotokolle mit der Meldung "Meldung fehlt IDr-Nutzlast"
- CLI Befehlsausgaben auf den beiden Peer-Firewalls anzeigen, die unterschiedliche Authentifizierungsalgorithmen zeigen (Beispiel: SHA-512 vs. SHA-256)
- >weniger mp-log ikemgr.log die "IKEv2-Vorschlag stimmt nicht überein, bitte überprüfen Sie die Krypto-Einstellungen auf beiden Seiten" anzeigt.
- >weniger mp-log ikemgr.log die "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen anzeigt, müssen Sie möglicherweise die Einstellungen überprüfen IKE "
- Dieser Authentifizierungskonflikt in Phase 2 (IPSec-Kryptoprofil) ist in einer Paketerfassung nicht sichtbar (es sei denn, pcap wird manuell entschlüsselt), daher ist es am besten, nur Befehle zu verwenden CLI / die Konfigurationen beider Seiten manuell zu überprüfen, um diese nicht übereinstimmende Konfiguration zu identifizieren und zu beheben
Web UI
Navigieren Sie zu Netzwerk > IPSec-Kryptoprofil > bearbeiten Sie das IPSec-Kryptowährungsprofil > bearbeiten Sie die Authentifizierung
CLI
Führen Sie auf beiden VPN Peers die folgenden Befehle über CLI
>show vpn tunnel
FW1> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA384] 3600-sec 0-kb
FW2> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA512] 3600-sec 0-kb
Systemprotokolle
Navigieren Sie zu Überwachen > Systemprotokolle
Wireshark Nehmen Sie eine Paketerfassung auf beiden VPN Peers vor und öffnen Sie sie in Wireshark nebeneinander
Hinweis: Dies wird standardmäßig nicht in Wireshark
angezeigt. Sie müssen über ikemgr-Protokolle auf Dump-Ebene von beiden VPN Peers verfügen, um die Pakete in Wireshark zu entschlüsseln. Dies kann mit den folgenden Schritten erfolgen
ikemgr.log
Führen Sie den folgenden Befehl über CLI auf beiden Peers aus
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind
Cause
Dieses Problem tritt auf, wenn die beiden VPN Peers im Authentifizierungsalgorithmus nicht übereinstimmen
Resolution
- Konfigurieren Sie beide Seiten so VPN , dass sie über einen übereinstimmenden Authentifizierungsalgorithmus verfügen
(Wenn es sich bei Ihrem Peer um einen anderen Anbieter firewallhandelt, führen Sie VPN die entsprechende Konfigurationsänderung für die Phase-2-Authentifizierung durchfirewall, wenn er die Ursache für die Nichtübereinstimmung ist.)
- Ausführen eines Commits
- Führen Sie die folgenden Befehle jeweils einige Male auf beiden VPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>