La negociación de la fase 2 de IPSec falla con "mensaje de notificación de protocolo recibido: tipo de notificación recibida NO_PROPOSAL_CHOSEN"IKE - No coincide la autenticación en la fase 2
15574
Created On 08/02/22 18:45 PM - Last Modified 05/09/23 06:00 AM
Symptom
- VPN El túnel no subió o bajó
- Registros del sistema que muestran "mensaje de notificación de protocolo recibido: tipo de notificación recibida NO_PROPOSAL_CHOSEN"IKE
- Registros del sistema que muestran "el mensaje carece de carga útil IDr"
- CLI mostrar salidas de comandos en los dos firewalls del mismo nivel que muestran diferentes algoritmos de autenticación (Ejemplo: SHA-512 vs. SHA-256)
- >menos mp-log ikemgr.log que muestra "La propuesta de IKEv2 no coincide, verifique la configuración criptográfica en ambos lados".
- >menos mp-log ikemgr.log que muestra "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"
- Esta falta de coincidencia de autenticación en la Fase 2 (IPSec Crypto Profile) no será visible en una captura de paquetes (a menos que pcap se descifre manualmente), por lo que es mejor usar CLI comandos / verificar manualmente las configuraciones de ambos lados para identificar y resolver esta configuración no coincidente.
Telaraña UI
Vaya a Network > IPSec Crypto Profile > edite IPSec Crypto Profile > edite la autenticación
CLI
En ambos VPN pares, ejecute los siguientes comandos a través de CLI
>show vpn tunnel
FW1> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA384] 3600-sec 0-kb
FW2> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA512] 3600-sec 0-kb
Registros del sistema
Vaya a Supervisar > registros del sistema
Wireshark Tome una captura de paquetes en ambos VPN pares y ábralos en Wireshark en paralelo Nota: Esto no aparecerá en
Wireshark
de forma predeterminada. Debe tener registros ikemgr de nivel de volcado de ambos VPN pares para descifrar los paquetes en Wireshark. Esto se puede hacer usando los pasos aquí
ikemgr.log
Ejecute el siguiente comando a través CLI de en ambos pares
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Networks firewall configurado con túnel IPSec VPN
Cause
Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en el algoritmo de autenticación
Resolution
- Configure ambos lados del VPN para que tengan un algoritmo de autenticación coincidente
(Si su par es un proveedor firewalldiferente, realice su cambio de configuración de autenticación de fase 2 equivalente/mismo en su firewall VPN si es el origen de la discrepancia)
- Realizar una confirmación
- Ejecute los siguientes comandos un par de veces cada uno en ambas CLI del VPN mismo nivel firewall para que se inicien y formen recientemente:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>