VPN 隧道形成失败,出现“IKEv2SA协商失败可能是由于预共享密钥不匹配” - 预共享密钥不匹配

VPN 隧道形成失败,出现“IKEv2SA协商失败可能是由于预共享密钥不匹配” - 预共享密钥不匹配

25644
Created On 08/02/22 20:52 PM - Last Modified 02/21/24 21:43 PM


Symptom


  • VPN 隧道不上或下
  • 系统日志显示“IKEv2SA协商失败可能是由于预共享密钥不匹配”
  • 系统日志显示“IKE收到协议通知消息:收到通知类型 AUTHENTICATION_FAILED”
  • 系统日志显示“身份验证失败”
  • >less mp 日志 ikemgr.log将“sharedkey”散列值显示为不同的值(需要 ikemgr倾倒记录级别)
  • 这种预共享密钥不匹配在数据包捕获中是不可见的,因此最好只使用CLI命令/手动检查双方的配置以识别和解决这种不匹配的配置
  • 将预共享密钥简单地键入记事本并将其复制/粘贴到 Web 始终是最佳做法GUI或者CLI两个路由器/防火墙完全相同(确保没有多余的空格、拼写错误,并且区分大小写 - 必须完全匹配)

网络UI
导航网络 >IKE网关 >编辑IKE网关>类型预共享密钥
网络GUI显示预共享密钥IKE网关

系统日志
导航监控 > 系统日志
预共享密钥不匹配的系统日志

线鲨
预共享密钥在 Wireshark 中不可见

ikemgr.log

通过运行以下命令CLI在两个同行上寻找以下错误

> less mp-log ikemgr.log
2022-06-27 16:41:27.702 -0700  [PWRN]: {    1:     }: [500] - [500]:0x55fd12d47780 received notify type AUTHENTICATION_FAILED
2022-06-27 16:41:25.697 -0700  [PERR]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication failure
2022-06-27 16:41:25.697 -0700  [INFO]: {    1:     }: [500] - [500]:0x7fe60c0240a0 authentication result: failure

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match
2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match
附加信息下面的部分有关如何将这些字符从十六进制转换为字母数字字符的更多信息

Environment


  • PAN-OS
  • 帕洛阿尔托网络firewall配置了 IPSecVPN隧道

Cause


当两个VPN对等方的预共享密钥不匹配

Resolution


  1. 配置双方VPN有一个匹配预共享密钥
网络GUI显示匹配的预共享密钥良好
完全退格/删除预共享密钥在两个防火墙上,在两个对等点上重新准确地输入它,以确保它们 100% 匹配和正确(区分大小写,没有多余的空格,没有拼写错误)
  1. 执行一个犯罪
  2. 每次运行以下命令几次两个都这VPN同行firewallCLI 让他们重新启动和形成:
>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>


Additional Information


ikemgr.log (需要倾倒记录级别)
通过运行以下命令CLI在两个同行

>less mp-log ikemgr.log
(scroll down, PgDn, or shift+G to go to bottom, or type /sharedkey + hit Enter)

2022-06-27 16:41:23 [DUMP] sharedkey
2022-06-27 16:41:23 [DUMP]:
70616c6f 313233           <-------------- Does not match

2022-06-27 16:41:23 [DUMP]: sharedkey 
2022-06-27 16:41:23 [DUMP]: 
4261644b 657931           <-------------- Does not match

如果你转变70616c6f313233从十六进制到字母数字,你得到:帕洛123
好

如果你转变4261644b657931从十六进制到字母数字,你得到: BadKey1
坏

正如你在上面看到的,我们已经发现并证明了预共享密钥两者之间VPN对等防火墙不匹配——这就是原因VPN隧道未能成功形成

'ikemgr' 进程必须设置为日志记录级别“转储”才能打印上面的这些消息
如何暂时地将 ike 调试级别设置为“转储”:

> debug ike global on dump

一旦完成,总是将 ike 调试级别设置回“正常”:

> debug ike global on normal

注意:一旦完成调试,永远不要忘记将 ikemgr 设置回“正常”日志记录级别。 将 ikemgr 留在“转储”级别可能会导致意外行为和系统不稳定

可以找到有关查看和设置 ikemgr 进程日志记录级别的更多信息这里
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlDXCAY&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language