VPN La formación del túnel falla con "La negociación IKEv2 SA falla probablemente debido a una falta de coincidencia de clave previamente compartida" - No coincide la clave precompartida

VPN La formación del túnel falla con "La negociación IKEv2 SA falla probablemente debido a una falta de coincidencia de clave previamente compartida" - No coincide la clave precompartida

25746
Created On 08/02/22 20:52 PM - Last Modified 02/21/24 21:43 PM


Symptom


  • VPN El túnel no subió o bajó
  • Registros del sistema que muestran "La negociación de IKEv2 SA ha fallado probablemente debido a una falta de coincidencia de clave previamente compartida"
  • Registros del sistema que muestran "mensaje de notificación de protocolo recibido: tipo de notificación recibida AUTHENTICATION_FAILED"IKE
  • Registros del sistema que muestran "error de autenticación"
  • >menos MP-log ikemgr.log que muestra el valor hash "sharedkey" como valores diferentes (requiere ikemgr en el nivel de registro de volcado)
  • Esta discrepancia de clave precompartida no será visible en una captura de paquetes, por lo que es mejor usar CLI comandos / verificar manualmente las configuraciones de ambos lados para identificar y resolver esta configuración no coincidente.
  • Siempre es una buena práctica simplemente escribir la clave precompartida en un Bloc de notas y copiarla / pegarla en la Web GUI o CLI de ambos enrutadores / firewalls exactamente igual (asegúrese de que no haya espacios adicionales, errores tipográficos y que distinga entre mayúsculas y minúsculas, debe coincidir exactamente)

Telaraña UI
Vaya a Puerta de enlace de > IKE de red > edite IKE Puerta de enlace> escriba Clave precompartida
Web GUI que muestra la clave previamente compartida para IKE Gateway 

Registros del sistema
Vaya a Supervisar > registros del sistema
Registros del sistema para la falta de coincidencia de claves previamente compartidas

Wireshark La clave precompartida no es visible en Wireshark


ikemgr.log

Ejecute el siguiente comando a través de CLI en ambos pares y busque los siguientes errores

> less mp-log ikemgr.log
2022-06-27 16:41:27.702 -0700  [PWRN]: {    1:     }: [500] - [500]:0x55fd12d47780 received notify type AUTHENTICATION_FAILED
2022-06-27 16:41:25.697 -0700  [PERR]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication failure
2022-06-27 16:41:25.697 -0700  [INFO]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication result: failure

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match
2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match
Consulte la sección Información adicional a continuación para obtener más información sobre cómo convertirlos de caracteres hexadecimales a alfanuméricos

Environment


  • PAN-OS
  • Palo Alto Networks firewall configurado con túnel IPSec VPN

Cause


Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en la clave previamente compartida

Resolution


  1. Configurar ambos lados del VPN para que tengan una clave precompartida coincidente
Web GUI que muestra la coincidencia de clave precompartida buena
Retroceso completo / elimine la clave previamente compartida en ambos firewalls, escríbala de forma nueva y exactamente correcta en ambos pares para asegurarse de que coincidan al 100% y sean correctos (distingue entre mayúsculas y minúsculas, sin espacios adicionales, sin errores tipográficos)
  1. Realizar una confirmación
  2. Ejecute los siguientes comandos un par de veces cada uno en ambas CLI del VPN mismo nivel firewall para que se inicien y formen recientemente:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Additional Information


ikemgr.log (requiere nivel de registro de volcado )
Ejecute el siguiente comando a través de CLI en ambos pares

>less mp-log ikemgr.log
(scroll down, PgDn, or shift+G to go to bottom, or type /sharedkey + hit Enter)

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match

2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match

Si convierte 70616c6f313233 de hexadecimal a alfanumérico, obtendrá: palo123
psk bueno

Si convierte4261644b657931de hexadecimal a alfanumérico, obtendrá: BadKey1
psk malo

 Como puede ver arriba, hemos descubierto y demostrado que la clave precompartida entre los dos VPN firewalls del mismo nivel no coincide, esta es la causa de que el túnel no se forme con éxito

El proceso 'ikemgr' debe establecerse en el VPN nivel de registro "dump" para que se impriman estos mensajes anteriores
Cómo temporalmente Establezca el nivel de depuración de IKE en 'volcado':  

> debug ike global on dump

Una vez hecho esto, siempre establezca el nivel de depuración de ike en 'normal':

> debug ike global on normal

Precaución: Nunca olvide volver a configurar ikemgr en el nivel de registro 'normal' una vez que haya terminado de depurar. Dejar ikemgr en el nivel de 'volcado' podría causar un comportamiento inesperado e inestabilidad

del sistema Puede encontrar más información sobre cómo ver y configurar el nivel de registro del proceso de ikemgr aquí
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDXCAY&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language