VPN La formation du tunnel échoue avec « La négociation IKEv2 SA a échoué probablement en raison d’une incompatibilité de clé pré-partagée » - Incompatibilité de clé pré-partagée

VPN La formation du tunnel échoue avec « La négociation IKEv2 SA a échoué probablement en raison d’une incompatibilité de clé pré-partagée » - Incompatibilité de clé pré-partagée

25748
Created On 08/02/22 20:52 PM - Last Modified 02/21/24 21:43 PM


Symptom


  • VPN Le tunnel ne monte pas ou ne descend pas
  • Journaux système indiquant « La négociation IKEv2 SA a échoué probablement en raison d’une incompatibilité de clé pré-partagée »
  • Journaux système affichant «IKE message de notification de protocole reçu : type de notification reçue AUTHENTICATION_FAILED »
  • Journaux système indiquant « échec d’authentification »
  • >moins MP-log ikemgr.log affichant la valeur de hachage « sharedkey » sous forme de valeurs différentes (nécessite ikemgr au niveau de la journalisation de vidage)
  • Cette incompatibilité de clé pré-partagée ne sera pas visible dans une capture de paquets, il est donc préférable d'utiliser CLI simplement les commandes / de vérifier manuellement les configurations des deux côtés pour identifier et résoudre cette configuration incompatible.
  • Il est toujours recommandé de simplement taper la clé pré-partagée dans un bloc-notes et de la copier/coller sur le Web GUI ou CLI des deux routeurs / pare-feu exactement de la même manière (assurez-vous qu’il n’y a pas d’espaces supplémentaires, de fautes de frappe et est sensible à la casse - doit correspondre exactement)

Web UI
Accédez à Passerelle > IKE réseau > modifiez IKE la passerelle > tapez Clé pré-partagée
Web GUI affichant une clé pré-partagée pour IKE Gateway

Journaux système
Accédez à Surveiller > journaux système
Journaux système pour les incompatibilités de clés prépartagées

Wireshark
La clé pré-partagée n’est pas visible dans

Wireshark ikemgr.log

Exécutez la commande ci-dessous via CLI sur les deux pairs et recherchez les erreurs suivantes

> less mp-log ikemgr.log
2022-06-27 16:41:27.702 -0700  [PWRN]: {    1:     }: [500] - [500]:0x55fd12d47780 received notify type AUTHENTICATION_FAILED
2022-06-27 16:41:25.697 -0700  [PERR]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication failure
2022-06-27 16:41:25.697 -0700  [INFO]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication result: failure

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match
2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match
Voir la section Informations supplémentaires ci-dessous pour plus d’informations sur la façon de les convertir de caractères hexadécimaux en caractères alphanumériques

Environment


  • PAN-OS
  • Palo Alto Networks firewall configuré avec IPSec VPN Tunnel

Cause


Ce problème se produit lorsque les deux VPN homologues ont une incompatibilité dans la clé pré-partagée

Resolution


  1. Configurer les deux côtés du pour VPN avoir une clé pré-partagée correspondante
Web GUI affichant la clé pré-partagée correspondante bonne
Retour arrière complet / suppression de la clé pré-partagée sur les deux pare-feu, tapez-la fraîchement et exactement correctement sur les deux pairs pour vous assurer qu’ils correspondent à 100% et sont corrects (sensible à la casse, pas d’espaces supplémentaires, pas de fautes de frappe)
  1. Effectuer une validation
  2. Exécutez les commandes ci-dessous plusieurs fois chacune sur les deux CLI homologues firewall pour les initier et les VPN former :
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Additional Information


ikemgr.log (nécessite le niveau de journalisation de vidage )
Exécutez la commande ci-dessous via CLI sur les deux homologues

>less mp-log ikemgr.log
(scroll down, PgDn, or shift+G to go to bottom, or type /sharedkey + hit Enter)

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match

2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match

Si vous convertissez 70616c6f313233 de hexadécimal en alphanumérique, vous obtenez: palo123
PSK bon

Si vous convertissez4261644b657931de hexadécimal en alphanumérique, vous obtenez: BadKey1
PSK mauvais

 Comme vous pouvez le voir ci-dessus, nous avons découvert et prouvé que la clé pré-partagée entre les deux VPN pare-feu homologues ne correspond pas - c'est la cause de l'échec de la formation

du tunnel Le processus 'ikemgr' doit être défini sur le niveau de VPN journalisation « dump » pour que ces messages ci-dessus soient imprimés
Comment temporairement Définissez le niveau de débogage IKE sur 'dump':  

> debug ike global on dump

Une fois cela fait, réglez toujours le niveau de débogage ike sur « normal »:

> debug ike global on normal

Attention: N'oubliez jamais de remettre ikemgr au niveau de journalisation « normal » une fois le débogage terminé. Laisser ikemgr au niveau 'dump' peut provoquer un comportement inattendu et une instabilité

du système Plus d'informations sur l'affichage et le réglage du niveau de journalisation du processus ikemgr peuvent être trouvées ici
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDXCAY&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language