VPN La formación del túnel falla con "La negociación IKEv2 SA falla probablemente debido a una falta de coincidencia de clave previamente compartida" - No coincide la clave precompartida
Symptom
- VPN El túnel no subió o bajó
- Registros del sistema que muestran "La negociación de IKEv2 SA ha fallado probablemente debido a una falta de coincidencia de clave previamente compartida"
- Registros del sistema que muestran "mensaje de notificación de protocolo recibido: tipo de notificación recibida AUTHENTICATION_FAILED"IKE
- Registros del sistema que muestran "error de autenticación"
- >menos MP-log ikemgr.log que muestra el valor hash "sharedkey" como valores diferentes (requiere ikemgr en el nivel de registro de volcado)
- Esta discrepancia de clave precompartida no será visible en una captura de paquetes, por lo que es mejor usar CLI comandos / verificar manualmente las configuraciones de ambos lados para identificar y resolver esta configuración no coincidente.
- Siempre es una buena práctica simplemente escribir la clave precompartida en un Bloc de notas y copiarla / pegarla en la Web GUI o CLI de ambos enrutadores / firewalls exactamente igual (asegúrese de que no haya espacios adicionales, errores tipográficos y que distinga entre mayúsculas y minúsculas, debe coincidir exactamente)
Telaraña UI
Vaya a Puerta de enlace de > IKE de red > edite IKE Puerta de enlace> escriba Clave precompartida
Registros del sistema
Vaya a Supervisar > registros del sistema
Wireshark La clave precompartida no es visible en Wireshark
ikemgr.log
Ejecute el siguiente comando a través de CLI en ambos pares y busque los siguientes errores
> less mp-log ikemgr.log
2022-06-27 16:41:27.702 -0700 [PWRN]: { 1: }: [500] - [500]:0x55fd12d47780 received notify type AUTHENTICATION_FAILED
2022-06-27 16:41:25.697 -0700 [PERR]: { 1: }: [500] - [500]:0x7fe60c0240a0 authentication failure
2022-06-27 16:41:25.697 -0700 [INFO]: { 1: }: [500] - [500]:0x7fe60c0240a0 authentication result: failure
2022-06-27 16:41:23 [DUMP] sharedkey 2022-06-27 16:41:23 [DUMP]: 70616c6f 313233 <-------------- Does not match 2022-06-27 16:41:23 [DUMP]: sharedkey 2022-06-27 16:41:23 [DUMP]: 4261644b 657931 <-------------- Does not matchConsulte la sección Información adicional a continuación para obtener más información sobre cómo convertirlos de caracteres hexadecimales a alfanuméricos
Environment
- PAN-OS
- Palo Alto Networks firewall configurado con túnel IPSec VPN
Cause
Este problema se produce cuando los dos VPN elementos del mismo nivel tienen una discrepancia en la clave previamente compartida
Resolution
- Configurar ambos lados del VPN para que tengan una clave precompartida coincidente
Retroceso completo / elimine la clave previamente compartida en ambos firewalls, escríbala de forma nueva y exactamente correcta en ambos pares para asegurarse de que coincidan al 100% y sean correctos (distingue entre mayúsculas y minúsculas, sin espacios adicionales, sin errores tipográficos)
- Realizar una confirmación
- Ejecute los siguientes comandos un par de veces cada uno en ambas CLI del VPN mismo nivel firewall para que se inicien y formen recientemente:
>clear vpn ike-sa gateway <name> >clear vpn ipsec-sa tunnel <name>
Additional Information
ikemgr.log (requiere nivel de registro de volcado )
Ejecute el siguiente comando a través de CLI en ambos pares
>less mp-log ikemgr.log (scroll down, PgDn, or shift+G to go to bottom, or type /sharedkey + hit Enter)
2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233 <-------------- Does not match
2022-06-27 16:41:23 [DUMP]: sharedkey
2022-06-27 16:41:23 [DUMP]:
4261644b 657931 <-------------- Does not match
Si convierte 70616c6f313233 de hexadecimal a alfanumérico, obtendrá: palo123
Si convierte4261644b657931de hexadecimal a alfanumérico, obtendrá: BadKey1
Como puede ver arriba, hemos descubierto y demostrado que la clave precompartida entre los dos VPN firewalls del mismo nivel no coincide, esta es la causa de que el túnel no se forme con éxito
El proceso 'ikemgr' debe establecerse en el VPN nivel de registro "dump" para que se impriman estos mensajes anteriores
Cómo temporalmente Establezca el nivel de depuración de IKE en 'volcado':
> debug ike global on dump
Una vez hecho esto, siempre establezca el nivel de depuración de ike en 'normal':
> debug ike global on normal
Precaución: Nunca olvide volver a configurar ikemgr en el nivel de registro 'normal' una vez que haya terminado de depurar. Dejar ikemgr en el nivel de 'volcado' podría causar un comportamiento inesperado e inestabilidad
del sistema Puede encontrar más información sobre cómo ver y configurar el nivel de registro del proceso de ikemgr aquí