IPSec フェーズ 2 ネゴシエーションが失敗し、"IKE受信したプロトコル通知メッセージ: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました" - フェーズ 2 での認証の不一致
15582
Created On 08/02/22 18:45 PM - Last Modified 05/09/23 06:00 AM
Symptom
- VPN トンネルが上がらない、または下った
- 「」を示すシステムログIKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました"
- 「メッセージに IDR ペイロードがない」ことを示すシステム ログ
- CLI 異なる認証アルゴリズムを示す 2 つのピア ファイアウォールの show コマンド出力 (例:SHA-512対。SHA-256 )
- >以下の mp-log ikemgr.log 「IKEv2 プロポーザルが一致しません。両側の暗号設定を確認してください。」
- >以下の mp-log ikemgr.log 「<IKEGateway> unauthenticated NO_PROPOSAL_CHOSEN を受信しました。確認が必要な場合があります。IKE設定"
- フェーズ 2 (IPSec 暗号化プロファイル) でのこの認証の不一致は、パケット キャプチャでは表示されません (pcap が手動で復号化されない限り)。CLIコマンド/両側の構成を手動でチェックして、この不一致の構成を特定して解決します
ウェブUI
案内するネットワーク > IPSec 暗号プロファイル >編集IPSec クリプト プロファイル>編集認証
CLI
両方にVPNピアで、以下のコマンドを実行します CLI
>show vpn tunnel
FW1> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA384] 3600-sec 0-kb
FW2> show vpn tunnel
TnID Name Gateway Local Proxy IP Ptl:Port Remote Proxy IP Ptl:Port Proposals
1 VPNTunnel10 IKEGatewayTest1 0.0.0.0/0 0:0 0.0.0.0/0 0:0 ESP tunl [DH20][AES192][SHA512] 3600-sec 0-kb
システムログ
案内する監視 > システムログ
ワイヤーシャーク
両方でパケット キャプチャを実行するVPNピアに接続し、それらを Wireshark で並べて開きます
注: これはデフォルトでは Wireshark に表示されません。 両方からダンプレベルのikemgrログが必要ですVPNWireshark でパケットを復号化するためのピア。 これは、手順を使用して行うことができますここ
ikemgr.log
以下のコマンドを実行しますCLI両方のピアで
>less mp-log ikemgr.log
2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.! 2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides. 2022-06-27 12:10:41 [PERR]: no proposal chosen. 2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
Environment
- PAN-OS
- パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル
Cause
この問題は、2 つのVPNピアの認証アルゴリズムが一致していません
Resolution
- の両側を構成します。VPNマッチングする認証アルゴリズム
(もしあなたのVPNピアは別のベンダーですfirewall、同等/同じフェーズ 2 を実行する認証構成の変更firewallそれらが不一致の原因である場合)
- 実行する専念
- 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>