La negociación IPSec Phase1 falla con "No autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba comprobar IKE la configuración"
35566
Created On 07/12/21 04:18 AM - Last Modified 05/17/23 03:27 AM
Symptom
IPSec VPN Fase1 no llega.
Palo Alto Firewall está actuando como iniciador.
Los registros del sistema muestran ISAKMP el mensaje 1 que se envía desde con la cookie del PA Firewall iniciador, sin embargo, las negociaciones fallan "Debido al tiempo de espera".
Ikemgr.log muestra a continuación:
2021-07-08 19:50:07.402 -0700 [INFO]: { 4: }: test: IKEv2 SA test initiate start.
2021-07-08 19:50:07.402 -0700 [PNTF]: { 4: }: ====> IKEv2 IKE SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway test <====
====> Initiated SA: 10.129.83.2[500]-10.129.83.221[500] SPI:50962cd283aa42d7:0000000000000000 SN:1034 <====
2021-07-08 19:50:07.456 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe95527e480 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:12.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:22.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:42.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe95527e480 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:51:22.052 -0700 [PWRN]: { 4: }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.Environment
- Palo Alto Firewall.
- Cualquiera PAN-OS.
- IPSec VPN.
- Fase-1.
Cause
Esto sucede cuando hay una falta de coincidencia de configuración en la versión en dispositivos locales y de IKE igual nivel.
Resolution
Verifique la configuración de la versión (en Perfiles de red > red > IKE puerta de enlace) en Palo Alto Firewall (iniciador) y haga coincidir con la configuración del dispositivo del mismo nivel o puede verificar la versión en el dispositivo del mismo nivel para que coincida con la IKE IKE local.