Tech-Blogカテゴリにおけるサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

 

当記事では、PaloAltoを用いて対向のVPN装置(以下、VPN装置と記載)とのVPN(IPsec)接続を行う際にIKEv1のPhase2にて接続が失敗している場合のトラブルシューティングについて記載します。 

対象バージョン 

 PAN-OS v9.0.11 

シナリオ 

以下の構成でネットワークを構築し、PaloAltoとVPN装置をVPN(IPsec)で接続します。 

(ネットワーク構成図) 

 

 以下のパラメータをもとに、PaloAltoとVPN装置にVPNの設定を行います。 

(PaloAltoとVPN装置に設定するパラメータ) 

※「ローカルIPアドレス」と「ピアアドレス」は例です。 

項目  VPN装置  PaloAlto 
Phase1   –  –
IKEバージョン  1  1 
DHグループ  20  20 
暗号化アルゴリズム  aes-256-cbc  aes-256-cbc 
認証アルゴリズム  sha512  sha512 
鍵の有効時間  8時間  8時間 
事前共有鍵  testvpn  testvpn 
モード  メイン  メイン 
ローカルIPアドレス  200.100.1.254/24  200.100.5.1/24 
ピアアドレス  200.100.5.1/24  200.100.1.254/24 
ローカルID  無し  無し 
ピアID  無し  無し 
DPD検知  有効  有効 
 再試行回数  5  5 
 再試行間隔  5秒  5秒 
Phase2   –  –
ESP/AH  ESP  ESP 
DHグループ  20  20 
暗号化アルゴリズム  aes-256-cbc  aes-256-cbc 
認証アルゴリズム  sha512  sha512 
鍵の有効時間  1時間  1時間 
プロキシID   –  –
ローカルIPアドレス  192.168.10.0/24  192.168.50.0/24 
リモートIPアドレス  192.168.50.0/24  192.168.10.0/24 
プロトコル  any  any 

 

PaloAltoにおけるVPN接続の正常性確認は Network > IPSecトンネル にて行います。 

VPN接続が正常な場合は、赤枠と青枠が緑色になります。 

 

VPN接続が失敗している場合は赤枠のみ、もしくは両方が赤色になります。 

以下はPhase2が失敗しているため、赤枠が赤色、青枠が緑色になります。 

以下はPhase1が失敗しているため、赤枠と青枠が赤色になります。 

赤枠はトンネルインターフェースの状態を表しています。 

 

赤枠とトンネルモニターは連携しており、トンネルモニターの宛先IPに監視するVPN装置のインターフェースのIPアドレスを設定することで、PaloAltoのトンネルインターフェースからVPN装置へ継続的にPingを送信し、宛先IPに設定したVPN装置のインターフェースへアクセスできるか確認します。トンネルモニターが有効であり、VPN装置へアクセス可能な場合はトンネルインターフェースがアップしているため赤枠の状態は緑色になります。トンネルモニターが有効であり、VPN装置へアクセス不可能な場合はトンネルインターフェースがダウンしているため赤枠の状態は赤色になります。 

※トンネルモニターが無効の場合は、赤枠は緑色になります。 

 

今回はPhase2にて通信が失敗し、VPN接続できない場合におけるトラブルシューティングについて記載します。 

Phase1でVPN接続が失敗している場合は、こちらの記事をご参照ください

 PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティングについて

トラブルシューティング 

トラブルシューティングを実施する際は、システムのログ等からどのようなログが出力されたのか確認します。ログの確認方法としてGUICLIがあります。 

PaloAlto上のGUIにおいて、 Monitor > ログ > システム を参照することでシステムログの確認を行います。 

※検索欄(赤枠)へ (subtype eq vpn) を入力し、「→」を押下することで、VPN通信に関連するシステムログのみを表示させることが可能です。 

Phase2にて通信が失敗している場合に出力されるシステムログのパターンは以下のようなものがあります。 

パターン①  

イベント: ike-recv-notify 

内容: IKE protocol notification message received: NO-PROPOSAL-CHOSEN (14). 

パターン②  

イベント: ike-nego-p2-fail 

内容: IKE phase-2 negotiation is failed as initiator, quick mode. Failed SA: 200.100.5.1[500]-200.100.1.254[500] message id:0xB6857AE9. Due to negotiation timeout. 

 

パターン(赤枠の部分)   

イベント: ike-nego-p2-proposal-bad 

内容: IKE phase-2 negotiation failed when processing SA payload. no suitable proposal found in peer’s SA payload. 

パターン  

イベント: ike-nego-p2-proxy-id-bad 

内容: IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: 192.168.50.0/24 type IPv4_subnet protocol 0 port 0, received remote id: 192.168.10.0/24 type IPv4_subnet protocol 0 port 0. 

それぞれのパターンごとの対応について記載します。 

パターン①の場合 

システムログにて「IKE protocol notification message received: NO-PROPOSAL-CHOSEN (14).」と出力される場合、PaloAltoとVPN装置に設定されたPhase2のパラメータが合致していないことが挙げられます。 

そのため、以下の手順に従って確認します。 

  1. PaloAltoに設定したPhase2のパラメータである「プロトコル・暗号化アルゴリズム・DHグループ」が正しく設定されているか確認します。 
  1. 1が正しく設定されている場合、VPN装置に設定したPhase2のパラメータである「プロトコル・暗号化アルゴリズム・DHグループ」が正しく設定されているか確認します。 

 

パターン②の場合 

 

システムログにてパターン①のログが出力されず、「IKE phase-2 negotiation is failed as initiator, quick mode. Failed SA: 200.100.5.1[500]-200.100.1.254[500] message id:0xB6857AE9. Due to negotiation timeout.」と出力される場合、PaloAltoとVPN装置に設定されたプロキシIDのパラメータが正しく設定されていないことが挙げられます。 

そのため、PaloAltoのプロキシIDが正しく設定されているか確認し、正しく設定されている場合はVPN装置のプロキシIDが正しく設定されているか確認します。 

パターンの場合 

システムログにて「IKE phase-2 negotiation failed when processing SA payload. no suitable proposal found in peer’s SA payload.」と出力される場合、PaloAltoとVPN装置に設定されたPhase2のパラメータが正しく設定されていないことが挙げられます。 

そのため、以下の手順に従って確認します。 

  1. PaloAltoのCLIからVPN接続のログを表示する。 

パターンでは、CLIにおいて以下のコマンドを実行することでGUIよりも詳細なログを確認することが可能です。詳細なログを出力させるため、1つ目のコマンドにてログレベルをdebugに設定します。

 

  1. ログにて「key length mismatched」と出力される場合、暗号化アルゴリズムの鍵長が正しく設定されていないことが挙げられます。続くログにてPaloAltoとVPN装置に設定されたパラメータを確認できるため、暗号化アルゴリズムが正しく設定されているか確認します。 

(例)PaloAltoにaes-128-cbc、VPN装置にaes-256-cbcが設定されている場合 

key length mismatched, mine:128 peer:256 

ログにて「trns_id mismatched」と出力される場合、暗号化アルゴリズムが正しく設定されていないことが挙げられます。続くログにてPaloAltoとVPN装置に設定されたパラメータを確認できるため、暗号化アルゴリズムが正しく設定されているか確認します。 

(例)PaloAltoにDES、VPN装置にaes-256-cbcが設定されている場合 

trns_id mismatched: my:DES peer:AES 

ログにて「authtype mismatched」と出力される場合、認証アルゴリズムが正しく設定されていないことが挙げられます。続くログにてPaloAltoとVPN装置に設定されたパラメータを確認できるため、認証アルゴリズムが正しく設定されているか確認します。 

(例) PaloAltoSHA256、VPN装置にSHA512が設定されている場合 

authtype mismatched: my:hmac-sha256 peer:hmac-sha512 

ログにて「pfs group mismatched」と出力される場合、DHグループが正しく設定されていないことが挙げられます。続くログにてPaloAltoとVPN装置に設定されたパラメータを確認できるため、DHグループが正しく設定されているか確認します。 

(例) PaloAltogroup19、VPN装置にgroup20が設定されている場合 

pfs group mismatched: my:19 peer:20 

 

  1. パターンのログが出力されない場合、ログレベルを変更前の設定に戻すため以下のコマンドを実行します。 

 

パターンの場合 

システムログにて「IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: 192.168.50.0/24 type IPv4_subnet protocol 0 port 0, received remote id: 192.168.10.0/24 type IPv4_subnet protocol 0 port 0.」と出力される場合、PaloAltoとVPN装置に設定されたプロキシIDのパラメータが正しく設定されていないことが挙げられます。 

 

プロキシIDの設定において、「PaloAltoのローカルIPアドレスとVPN装置のリモートIPアドレス」、「PaloAltoのリモートIPアドレスとVPN装置のローカルIPアドレス」、「PaloAltoのプロトコルとVPN装置のプロトコル」は一致している必要があります。 

そのため、以下の手順に従って確認します。 

  1. PaloAltoのプロキシIDが事前に定義したパラメータ通りに正しく設定されているか確認します。 
  1. 1が正しく設定されている場合、VPN装置のプロキシIDが事前に定義したパラメータ通りに正しく設定されているか確認します。 

 

Tips 

VPN装置にポリシーベースのVPNが設定されている場合 

PaloAltoがポリシーベースのVPN装置とVPN接続を行う場合、PaloAltoにてプロキシIDを設定する必要があります。ポリシーベースのVPN装置は、トンネルを介するトラフィックを許可するための特定のセキュリティポリシーまたはアクセスリスト(送信元アドレス・宛先アドレス・ポート)を使用し、これらはPhase2のプロキシIDとしてPaloAltoと交換されます。Phase2が失敗しないようにするため、PaloAltoとVPN装置のプロキシIDはお互い一致するように設定を行う必要があります。PaloAltoはルートベースのVPNをサポートしており、プロキシIDの設定がされていない場合、「ローカル:0.0.0.0/0、リモート:0.0.0.0/0、プロトコル:any」とプロキシIDが設定されます。この結果、PaloAltoとVPN装置のプロキシIDが一致せず、VPN接続が失敗します。 

 

以上で、PaloAltoを用いてVPN装置とのVPN(IPsec)接続を行う際にIKEv1のPhase2にて接続が失敗している場合のトラブルシューティングについての説明は終了となります。 


この情報の発信者

セキュアヴェイルグループ(SecuAvail Inc. | CareAvail Inc. | LogStare Inc.)