VPN トンネル形成が「IKEv2SAネゴシエーションは、事前共有キーの不一致が原因で失敗する可能性があります」 - 事前共有キーの不一致

VPN トンネル形成が「IKEv2SAネゴシエーションは、事前共有キーの不一致が原因で失敗する可能性があります」 - 事前共有キーの不一致

25752
Created On 08/02/22 20:52 PM - Last Modified 02/21/24 21:43 PM


Symptom


  • VPN トンネルが上がらない、または下った
  • 「IKEv2」を示すシステムログSA事前共有キーの不一致が原因でネゴシエーションが失敗した可能性があります」
  • 「」を示すシステムログIKE受信したプロトコル通知メッセージ: 通知タイプ AUTHENTICATION_FAILED を受信しました"
  • 「認証失敗」を示すシステム ログ
  • >以下の mp-log ikemgr.log 「sharedkey」ハッシュ値を異なる値として表示 (ikemgr on が必要)ごみログレベル)
  • この事前共有キーの不一致は、パケット キャプチャでは表示されないため、そのまま使用することをお勧めしますCLIコマンド/両側の構成を手動でチェックして、この不一致の構成を特定して解決します
  • 事前共有キーをメモ帳に入力し、コピーして Web に貼り付けることが常にベスト プラクティスです。GUIまたCLIルーター/ファイアウォールの両方がまったく同じであること (余分なスペースやタイプミスがないこと、および大文字と小文字が区別されることを確認してください - 完全に一致する必要があります)

ウェブUI
案内するネットワーク >IKEゲートウェイ >編集IKEゲートウェイ>タイプ事前共有鍵
ウェブGUIの事前共有キーを表示していますIKEゲートウェイ

システムログ
案内する監視 > システムログ
事前共有キーの不一致に関するシステム ログ

ワイヤーシャーク
事前共有キーが Wireshark に表示されない

ikemgr.log

以下のコマンドを実行しますCLI両方のピアで次のエラーを探します

> less mp-log ikemgr.log
2022-06-27 16:41:27.702 -0700  [PWRN]: {    1:     }: [500] - [500]:0x55fd12d47780 received notify type AUTHENTICATION_FAILED
2022-06-27 16:41:25.697 -0700  [PERR]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication failure
2022-06-27 16:41:25.697 -0700  [INFO]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication result: failure

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match
2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match
見る追加情報これらを 16 進数から英数字に変換する方法の詳細については、以下のセクションを参照してください。

Environment


  • PAN-OS
  • パロアルトネットワークスfirewallIPSec で構成されたVPNトンネル

Cause


この問題は、2 つのVPNピアの事前共有キーに不一致があります

Resolution


  1. の両側を構成します。VPNマッチングする事前共有鍵
ウェブGUI一致する事前共有キーが良好であることを示しています
完全にバックスペース/削除事前共有鍵両方のファイアウォールで、両方のピアで新しく正確に入力して、それらが 100% 一致し、正しいことを確認します (大文字と小文字を区別し、余分なスペースやタイプミスはありません)。
  1. 実行する専念
  2. 以下のコマンドをそれぞれ数回実行します両方のVPNピアfirewallそれらを新しく開始して形成するための CLI:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Additional Information


ikemgr.log (必要ごみログレベル)
以下のコマンドを実行しますCLI両方のピアで

>less mp-log ikemgr.log
(scroll down, PgDn, or shift+G to go to bottom, or type /sharedkey + hit Enter)

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match

2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match

もし、あんたが変換70616c6f313233 16 進数から英数字に変換すると、次のようになります。 palo123
psk良い

もし、あんたが変換4261644b657931 16 進数から英数字に変換すると、次のようになります。不良キー1
psk 悪い

上記でわかるように、私たちは、事前共有鍵ふたつの間にVPNピア ファイアウォール一致していません- これが原因ですVPNトンネルが正常に形成されない

上記のメッセージを出力するには、「ikemgr」プロセスをログ レベル「ダンプ」に設定する必要があります。
方法一時的にike デバッグ レベルを「ダンプ」に設定します。

> debug ike global on dump

完了したら、いつもike デバッグ レベルを「通常」に戻します。

> debug ike global on normal

注意: デバッグが完了したら、ikemgr をログ レベル「通常」に戻すことを忘れないでください。 ikemgr を「ダンプ」レベルのままにしておくと、予期しない動作が発生し、システムが不安定になる可能性があります

ikemgr プロセスのログ レベルの表示と設定の詳細については、こちらを参照してください。ここ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDXCAY&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language