VPN Die Tunnelbildung schlägt fehl mit "Die IKEv2-Aushandlung SA ist wahrscheinlich aufgrund einer Nichtübereinstimmung mit einem vorinstallierten Schlüssel fehlgeschlagen" - Nichtübereinstimmung des vorinstallierten Schlüssels

VPN Die Tunnelbildung schlägt fehl mit "Die IKEv2-Aushandlung SA ist wahrscheinlich aufgrund einer Nichtübereinstimmung mit einem vorinstallierten Schlüssel fehlgeschlagen" - Nichtübereinstimmung des vorinstallierten Schlüssels

25750
Created On 08/02/22 20:52 PM - Last Modified 02/21/24 21:43 PM


Symptom


  • VPN Tunnel kam nicht hoch oder ging runter
  • Systemprotokolle, die zeigen, dass die IKEv2-Aushandlung SA wahrscheinlich aufgrund einer Nichtübereinstimmung des vorinstallierten Schlüssels fehlgeschlagen ist.
  • Systemprotokolle, die " Protokollbenachrichtigung empfangen: empfangene Benachrichtigung Typ AUTHENTICATION_FAILED"IKE anzeigen
  • Systemprotokolle mit "Authentifizierungsfehler"
  • >less mp-log ikemgr.log der den Hash-Wert "sharedkey" als unterschiedliche Werte anzeigt (erfordert ikemgr auf Dump-Protokollierungsebene)
  • Diese Nichtübereinstimmung des vorinstallierten Schlüssels ist in einer Paketerfassung nicht sichtbar, daher ist es am besten, nur Befehle zu verwenden CLI / die Konfigurationen beider Seiten manuell zu überprüfen, um diese nicht übereinstimmende Konfiguration zu identifizieren und zu beheben
  • Es empfiehlt sich immer, den vorinstallierten Schlüssel einfach in einen Editor einzugeben und ihn in das Web GUI oder von beiden Routern/Firewalls genau gleich zu kopieren und einzufügen (stellen Sie sicher, dass keine zusätzlichen Leerzeichen, Tippfehler und CLI Groß-/Kleinschreibung beachtet werden - muss exakt übereinstimmen)

Web UI
Navigieren Sie zu Network > Gateway > bearbeiten Sie IKE Gateway> IKE geben Sie Pre-shared Key
Web GUI mit vorinstalliertem Schlüssel für IKE Gateway ein 

Systemprotokolle
Navigieren Sie zu Monitor > System Logs
Systemprotokolle für nicht übereinstimmende vorinstallierte Schlüssel

Wireshark Der vorinstallierte Schlüssel ist in Wireshark


ikemgr nicht sichtbar.log

Führen Sie den folgenden Befehl via CLI auf beiden Peers aus und suchen Sie nach den folgenden Fehlern

> less mp-log ikemgr.log
2022-06-27 16:41:27.702 -0700  [PWRN]: {    1:     }: [500] - [500]:0x55fd12d47780 received notify type AUTHENTICATION_FAILED
2022-06-27 16:41:25.697 -0700  [PERR]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication failure
2022-06-27 16:41:25.697 -0700  [INFO]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication result: failure

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match
2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match
Weitere Informationen zum Konvertieren von Hexadezimalzeichen in alphanumerische Zeichen finden Sie im Abschnitt "Zusätzliche Informationen " weiter unten

Environment


  • PAN-OS
  • Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind

Cause


Dieses Problem tritt auf, wenn die beiden VPN Peers im vorinstallierten Schlüssel nicht übereinstimmen

Resolution


  1. Konfigurieren Sie beide Seiten soVPN, dass sie über einen passenden vorinstallierten Schlüssel verfügen
Web GUI , das übereinstimmende vorinstallierte Schlüssel anzeigt, ist gut
Löschen Sie den vorinstallierten Schlüssel auf beiden Firewalls vollständig, geben Sie ihn auf beiden Peers frisch und genau korrekt ein, um sicherzustellen, dass sie zu 100% übereinstimmen und korrekt sind (Groß-/Kleinschreibung beachten, keine zusätzlichen Leerzeichen, keine Tippfehler)
  1. Ausführen eines Commits
  2. Führen Sie die folgenden Befehle jeweils einige Male auf beiden VPN Peer-CLIs firewall aus, damit sie neu initiiert und gebildet werden:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Additional Information


ikemgr.log (erfordert Dump-Protokollierungsebene)
Führen Sie den folgenden Befehl über CLI auf beiden Peers aus

>less mp-log ikemgr.log
(scroll down, PgDn, or shift+G to go to bottom, or type /sharedkey + hit Enter)

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match

2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match

Wenn Sie 70616c6f313233 von hex in alphanumerisch konvertieren, erhalten Sie: palo123
PSK Gut

Wenn Sie 4261644b657931von hexadezimaltext in alphanumerisch konvertieren, erhalten Sie: BadKey1
PSK schlecht

  Wie Sie oben sehen können, haben wir festgestellt und bewiesen, dass der vorinstallierte Schlüssel zwischen den beiden VPN Peer-Firewalls nicht übereinstimmt - dies ist die Ursache dafür, dass der VPN Tunnel nicht erfolgreich

gebildet werden kann Der 'ikemgr'-Prozess muss auf die Protokollierungsebene "dump" gesetzt werden, damit diese obigen Meldungen gedruckt werden
können So geht's vorübergehend Setzen Sie die IKE-Debugging-Stufe auf "dump":  

> debug ike global on dump

Wenn Sie fertig sind, setzen Sie die Debugging-Stufe immer wieder auf "normal":

> debug ike global on normal

Achtung: Vergessen Sie niemals, ikemgr wieder auf die Protokollierungsstufe "normal" zu setzen, sobald Sie mit dem Debuggen fertig sind. Wenn Sie ikemgr auf der Dump-Ebene belassen, kann dies zu unerwartetem Verhalten und Systeminstabilität

führen Weitere Informationen zum Anzeigen und Festlegen der IKEMGR-Prozessprotokollierungsebene finden Sie hier
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDXCAY&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language