La négociation IPSec Phase 2 échoue avec «IKE Message de notification de protocole reçu : type de notification reçue NO_PROPOSAL_CHOSEN » - Incompatibilité d’authentification dans la phase 2
15566
Created On 08/02/22 18:45 PM - Last Modified 05/09/23 05:55 AM
Symptom
- VPN Le tunnel ne monte pas ou ne descend pas
- Journaux système affichant «IKE message de notification de protocole reçu : type de notification reçue NO_PROPOSAL_CHOSEN »
- Journaux système affichant « message manque de charge utile IDr »
- CLI afficher les sorties de commandes sur les deux pare-feu homologues montrant des algorithmes d’authentification différents (Exemple: SHA-512 vs. SHA-256)
- >moins mp-log ikemgr.log montrant « La proposition IKEv2 ne correspond pas, veuillez vérifier le paramètre crypto des deux côtés. »
- >sans mp-log ikemgr.log affichant « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »
- Cette incompatibilité d'authentification dans la phase 2 (profil de chiffrement IPSec) ne sera pas visible dans une capture de paquets (sauf si pcap est déchiffré manuellement), il est donc préférable d'utiliser CLI simplement des commandes / vérifier manuellement les configurations des deux côtés pour identifier et résoudre cette configuration incompatible.
Web UI
Accédez à Profil de chiffrement IPSec > réseau > modifier le profil de chiffrement IPSec > modifier l’authentification
CLI
Sur les deux homologues, exécutez la ou les VPN commandes ci-dessous via CLI
>show vpn tunnel
FW1> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA384] 3600-sec 0-kb
FW2> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA512] 3600-sec 0-kb
Journaux système
Accédez à Surveiller > journaux système
Wireshark Prenez une capture de paquets sur les deux pairs et ouvrez-les VPN côte à côte
dans Wireshark Remarque: Cela n’apparaîtra pas dans Wireshark
par défaut. Vous devez disposer de journaux ikemgr au niveau du vidage des deux VPN pairs pour déchiffrer les paquets dans Wireshark. Cela peut être fait en utilisant les étapes ici
ikemgr.log
Exécutez la commande ci-dessous via CLI sur les deux pairs
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- Palo Alto Networks firewall configuré avec IPSec VPN Tunnel
Cause
Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans l’algorithme d’authentification
Resolution
- Configurer les deux côtés du pour VPN avoir un algorithme d’authentification correspondant
(Si votre VPN homologue est un fournisseur firewalldifférent, effectuez sa modification de configuration d’authentification de phase 2 équivalente/identique sur son firewall s’il est à l’origine de l’incompatibilité)
- Effectuer une validation
- Exécutez les commandes ci-dessous plusieurs fois chacune sur les deux CLI homologues firewall pour les initier et les VPN former :
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>