NW機器

PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティングについて

この記事は投稿日から2年以上経過しています。

 

当記事では、PaloAltoを用いて対向のVPN装置(以下、VPN装置と記載)とのVPN(IPsec)接続を行う際にIKEv1のPhase1にて接続が失敗している場合のトラブルシューティングについて記載します。

 

対象バージョン

PAN-OS v9.0.11

シナリオ

以下の構成でネットワークを構築し、PaloAltoとVPN装置をVPN(IPsec)で接続します。

(ネットワーク構成図)

 

以下のパラメータをもとに、PaloAltoとVPN装置にVPNの設定を行います。

(PaloAltoとVPN装置に設定するパラメータ)

※「ローカルIPアドレス」と「ピアアドレス」は例になります。

項目 VPN装置 PaloAlto
Phase1  -  -
IKEバージョン 1 1
DHグループ 20 20
暗号化アルゴリズム aes-256-cbc aes-256-cbc
認証アルゴリズム sha512 sha512
鍵の有効時間 8時間 8時間
事前共有鍵 testvpn testvpn
モード メイン メイン
ローカルIPアドレス 200.100.1.254/24 200.100.5.1/24
ピアアドレス 200.100.5.1/24 200.100.1.254/24
ローカルID 無し 無し
ピアID 無し 無し
DPD検知 有効 有効
 再試行回数 5 5
 再試行間隔 5秒 5秒
Phase2  -  -
ESP/AH ESP ESP
DHグループ 20 20
暗号化アルゴリズム aes-256-cbc aes-256-cbc
認証アルゴリズム sha512 sha512
鍵の有効時間 1時間 1時間
プロキシID - -
ローカルIPアドレス 192.168.10.0/24 192.168.50.0/24
リモートIPアドレス 192.168.50.0/24 192.168.10.0/24
プロトコル any any

PaloAltoにおけるVPN接続の正常性確認は Network > IPSecトンネル にて行います。

VPN接続が正常な場合は、赤枠と青枠が緑色になります。

 

VPN接続が失敗している場合は赤枠のみ、もしくは両方が赤色になります。

以下はPhase2が失敗しているため、赤枠が赤色、青枠が緑色になります。

以下はPhase1が失敗しているため、赤枠と青枠が赤色になります。

今回はPhase1にて通信が失敗し、VPN接続できない場合におけるトラブルシューティングについて記載します。

Phase2におけるトラブルシューティングについては以下の記事をご参照ください。

PaloAltoのIPsec IKEv1 Phase2におけるトラブルシューティングについて

トラブルシューティング

トラブルシューティングを実施する際は、システムのログ等からどのようなログが出力されたのか確認します。ログの確認方法としてGUIとCLIがあります。

PaloAlto上のGUIにおいて、 Monitor > ログ > システム を参照することでシステムログの確認を行います。

※検索欄(赤枠)へ (subtype eq vpn) を入力し、「→」を押下することで、VPN通信に関連するシステムログのみを表示させることが可能です。

Phase1にて通信が失敗している場合に出力されるシステムログのパターンは以下のようなものがあります。

パターン①

イベント:ike-nego-p1-fail-common

内容: IKE phase-1 negotiation is failed. Couldn't find configuration for IKE phase-1 request for peer IP 200.100.1.254[500].

 

パターン②(赤枠の部分)

イベント:ike-nego-p1-fail

内容: IKE phase-1 negotiation is failed as initiator, main mode. Failed SA: 200.100.5.1[500]-200.100.1.254[500] cookie:02f293d180b306a3:0000000000000000. Due to timeout.

 

パターン③(赤枠の部分)

イベント:ike-nego-p1-fail-common

内容:IKE phase-1 negotiation is failed. no suitable proposal found in peer’s SA payload.

 

パターン④

イベント: ike-nego-p1-fail-psk

内容: IKE phase-1 negotiation is failed likely due to pre-shared key mismatch.

それぞれのパターンごとの対応について記載します。

パターン①の場合

システムログにて「IKE phase-1 negotiation is failed. Couldn't find configuration for IKE phase-1 request for peer IP 200.100.1.254[500].」と出力される場合、PaloAltoのピアIPアドレスにVPN装置のIPアドレスが正しく設定されていないことが挙げられます。

そのため、 ネットワーク > ネットワークプロファイル > IKEゲートウェイ を参照し、ピアアドレス(赤枠)が正しく設定されているか確認します。

※パターン①では、VPN装置のピアアドレスの設定を確認する必要はありません。

パターン②の場合 

システムログにて「IKE phase-1 negotiation is failed as initiator, main mode.」と出力される場合、PaloAltoとVPN装置に設定されたPhase1のパラメータ情報の交換が失敗していることが挙げられます。

そのため、以下の手順に従って確認します。

  1. インターネットを介してPaloAltoとVPN装置でPing疎通ができるか確認します。

PaloAltoからVPN装置へのPing疎通は、PaloAltoのCLIにおいて以下のコマンドを実行します。

# ping source <PaloAltoのIPアドレス> host <宛先IPアドレス>

※sourceオプションを使用することで、任意のインターフェースを送信元に設定することが可能です。

  1. PaloAltoのPolicies > セキュリティ を参照し、送信元と宛先のゾーンがuntrust、アドレスがany(もしくはPaloAltoとVPN装置を含むIPアドレス)の通信を拒否するポリシーが設定されているか確認します。設定されている場合、送信元と宛先のゾーンがuntrust、アドレスがany(もしくはPaloAltoとVPN装置を含むIPアドレス)、項目「アプリケーション」にikeとipsecを含む通信を許可するポリシーを設定します。

PaloAltoにおいて上記の拒否ポリシーが設定されていない場合、VPN装置のセキュリティポリシーをPaloAltoと同様に確認し、必要があれば設定します。

  1. PaloAltoに設定したPhase1のパラメータが正しく設定されているか確認します。正しく設定されている場合、VPN装置に設定したPhase1のパラメータが正しく設定されているか確認します。

パターン③の場合

システムログから「IKE phase-1 negotiation is failed. no suitable proposal found in peer's SA payload.」と出力される場合、PaloAltoとVPN装置に設定されたPhase1のパラメータが正しく設定されていないことが挙げられます。

そのため、以下の手順に従って確認します。

  1. PaloAltoのCLIからVPN接続のログを表示する。

パターン③では、CLIにおいて以下のコマンドを実行することでGUIよりも詳細なログを確認することが可能です。詳細なログを出力させるため、1つ目のコマンドにてログレベルをdebugに設定します。

# debug ike global on debug
# less mp-log ikemgr.log
  1. ログから「Compared: DB:Peer」と書かれた部分を見つける。

以下は今回のシナリオで出力されるログです。

2021-07-06 18:35:17.869 +0900  [DEBG]: {    9:     }: Compared: DB:Peer
2021-07-06 18:35:17.869 +0900  [DEBG]: {    9:     }: (lifetime = 28800:28800)
2021-07-06 18:35:17.869 +0900  [DEBG]: {    9:     }: (lifebyte = 0:0)
2021-07-06 18:35:17.869 +0900  [DEBG]: {    9:     }: enctype = AES:AES2021-07-06 18:35:17.870 +0900  [DEBG]: {    9:     }: (encklen = 256:256)
2021-07-06 18:35:17.870 +0900  [DEBG]: {    9:     }: hashtype = SHA256:SHA512
2021-07-06 18:35:17.870 +0900  [DEBG]: {    9:     }: authmethod = PSK:PSK
2021-07-06 18:35:17.870 +0900  [DEBG]: {    9:     }: dh_group = DH20:DH20
(省略)
2021-07-06 18:35:17.870 +0900  [PERR]: {    9:     }: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = SHA256:SHA512
2021-07-06 18:35:17.870 +0900  [PERR]: {    9:     }: no suitable proposal found.
2021-07-06 18:35:17.870 +0900  [PERR]: {    9:     }: 200.100.5.1[500] - 200.100.1.254[500]:(nil) failed to get valid proposal.

2-7行目にはPhase1のパラメータが以下の形式で記載されています。

パラメータの項目 = PaloAltoに設定されたパラメータ:VPN装置に設定されたパラメータ

各項目の説明

lifetime : 鍵の有効時間

lifebyte : 鍵の通信量の限度

enctype : 暗号化アルゴリズムの種類

encklen : 暗号化アルゴリズムの鍵の長さ

hashtype : 認証アルゴリズムの種類

authmethod : 認証方式

dg_group : DHグループの種類

  1. 2の各パラメータとVPN接続を行うために事前に定義したパラメータの差異を比較し、差異のあるパラメータを正しく設定する。

今回の場合はPaloAltoの認証アルゴリズムが正しく設定できていないことが確認できます。そのため、PaloAltoに設定されている認証アルゴリズムをsha256からsha512へ修正します。

項目 VPN装置 PaloAlto
Phase1  -  -
DHグループ 20 20
暗号化アルゴリズム aes-256-cbc aes-256-cbc
認証アルゴリズム sha512 sha512
鍵の有効時間 8時間 8時間
事前共有鍵 testvpn testvpn
モード メイン メイン
ローカルIPアドレス 200.100.1.254/24 200.100.5.1/24
ピアアドレス 200.100.5.1/24 200.100.1.254/24
ローカルID 無し 無し
ピアID 無し 無し
DPD検知 有効 有効
再試行回数 5 5
再試行間隔 5秒 5秒
  1. パターン③のログが出力されない場合、ログレベルを変更前の設定に戻すため以下のコマンドを実行します。
# debug ike global on normal

パターン④の場合

 システムログから「IKE phase-1 negotiation is failed likely due to pre-shared key mismatch.」と出力される場合、PaloAltoとVPN装置に設定された事前共有鍵の値が正しく設定されていないことが挙げられます。

そのため、以下の手順に従って確認します。

  1. PaloAltoに設定された事前共有鍵の値が、正しく設定されているか確認します。
  2. 1が問題ない場合、VPN装置に設定された事前共有鍵の値が正しく設定されているか確認します。

 

以上で、PaloAltoを用いてVPN装置とのVPN(IPsec)接続を行う際に、IKEv1のPhase1にて接続が失敗している場合のトラブルシューティングについての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

監視項目データベース更新案内(210729_01)前のページ

PaloAltoのIPsec IKEv1 Phase2におけるトラブルシューティングについて次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてAWSマーケットプレイスへ出品

関連記事

  1. NW機器

    Fortinet製品における認証バイパスの脆弱性(CVE-2022-40684)に対するFortiO…

    ※本記事の内容は、2022年10月18日現在の公開情報およびセキュアヴ…

  2. Windows/Linux

    rsyslogをホスト名、IPアドレスごとにフォルダー分けする方法

    当記事では、rsyslogで受信したログを送信元ホスト名、IPアドレス…

  3. NW機器

    LogStare Collectorにて、UNIVERGE IXシリーズ のSNMP監視をするための…

    当記事では、LogStare Collectorにおける UNIVER…

  4. A10 Thunderのアクセスログを収集する

    NW機器

    A10 Thunderのアクセスログを収集するためのForward Proxy、SYSLOGなどの設…

    当記事では、A10ネットワークス社  Thunder シリーズを、フォ…

  5. NW機器

    LogStare Collectorにて、vCenter Server Appliance のSNM…

    当記事では、LogStare CollectorにおけるvCenter…

  6. Windows/Linux

    LSCサーバのWindowsファイアウォールにてWMI、Syslog、SNMP、PING通信を許可す…

    当記事では、LSCサーバのWindowsファイアウォールにてWMI、S…

LogStareセミナー

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP