Die Aushandlung der IPSec-Phase 1 schlägt mit der Meldung "Nicht authentifizierte NO_PROPOSAL_CHOSEN empfangen, Sie müssen möglicherweise die Einstellungen überprüfen IKE " fehl.
35566
Created On 07/12/21 04:18 AM - Last Modified 05/17/23 03:28 AM
Symptom
IPSec VPN Phase1 kommt nicht.
Palo Alto Firewall fungiert als Initiator.
Das Systemprotokoll zeigt, dass ISAKMP Nachricht 1 mit PA Firewall dem Initiator-Cookie gesendet wird, die Aushandlung jedoch "Aufgrund einer Zeitüberschreitung" fehlschlägt.
Ikemgr.log zeigt unten:
2021-07-08 19:50:07.402 -0700 [INFO]: { 4: }: test: IKEv2 SA test initiate start.
2021-07-08 19:50:07.402 -0700 [PNTF]: { 4: }: ====> IKEv2 IKE SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway test <====
====> Initiated SA: 10.129.83.2[500]-10.129.83.221[500] SPI:50962cd283aa42d7:0000000000000000 SN:1034 <====
2021-07-08 19:50:07.456 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe95527e480 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:12.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:22.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:42.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe95527e480 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:51:22.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.Environment
- Palo Alto Firewall.
- Jede PAN-OS.
- IPSec VPN.
- Phase-1.
Cause
Dies geschieht, wenn die Version auf lokalen und Peer-Geräten nicht übereinstimmt IKE .
Resolution
Überprüfen Sie die Versionskonfiguration (unter Network > Network Profiles > IKE Gateway) auf dem Palo Alto Firewall (Initiator) und gleichen Sie sie mit der Konfiguration des Peer-Geräts ab, oder Sie können die IKE IKE Version auf dem Peer-Gerät überprüfen, um sie mit dem lokalen Gerät abzugleichen.