IPSec フェーズ 2 ネゴシエーションが失敗し、"IKE受信したプロトコル通知メッセージ: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました" - フェーズ 2 での認証の不一致

• VPN トンネルが上がらない、または下った
• 「」を示すシステムログIKEプロトコル通知メッセージを受信しました: 通知タイプ NO_PROPOSAL_CHOSEN を受信しました"
• 「メッセージに IDR ペイロードがない」ことを示すシステム ログ
• CLI 異なる認証アルゴリズムを示す 2 つのピア ファイアウォールの show コマンド出力 (例:SHA-512対。SHA-256 )
• >以下の mp-log ikemgr.log 「IKEv2 プロポーザルが一致しません。両側の暗号設定を確認してください。」
• >以下の mp-log ikemgr.log 「<IKEGateway> unauthenticated NO_PROPOSAL_CHOSEN を受信しました。確認が必要な場合があります。IKE設定"
• フェーズ 2 (IPSec 暗号化プロファイル) でのこの認証の不一致は、パケット キャプチャでは表示されません (pcap が手動で復号化されない限り)。CLIコマンド/両側の構成を手動でチェックして、この不一致の構成を特定して解決します

>show vpn tunnel

FW1> show vpn tunnel
TnID Name   Gateway               Local Proxy IP       Ptl:Port   Remote Proxy IP      Ptl:Port   Proposals
1   VPNTunnel10 IKEGatewayTest1   0.0.0.0/0            0:0        0.0.0.0/0            0:0        ESP tunl [DH20][AES192][SHA384] 3600-sec 0-kb

FW2> show vpn tunnel
TnID Name       Gateway          Local Proxy IP       Ptl:Port   Remote Proxy IP      Ptl:Port    Proposals
1   VPNTunnel10 IKEGatewayTest1   0.0.0.0/0            0:0        0.0.0.0/0            0:0        ESP tunl [DH20][AES192][SHA512] 3600-sec 0-kb

システムログ
案内する監視 > システムログ


ワイヤーシャーク
両方でパケット キャプチャを実行するVPNピアに接続し、それらを Wireshark で並べて開きます
注: これはデフォルトでは Wireshark に表示されません。 両方からダンプレベルのikemgrログが必要ですVPNWireshark でパケットを復号化するためのピア。 これは、手順を使用して行うことができますここ

ikemgr.log
以下のコマンドを実行しますCLI両方のピアで

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]:  Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

• PAN-OS
• パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル

1. の両側を構成します。VPNマッチングする認証アルゴリズム

2. 実行する専念
3. 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:

>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>