La négociation IPSec Phase 1 échoue avec « Non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »

La négociation IPSec Phase 1 échoue avec « Non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »

35523
Created On 07/12/21 04:18 AM - Last Modified 05/17/23 03:27 AM


Symptom


IPSec VPN Phase1 n’arrive pas.
Palo Alto Firewall agit en tant qu’initiateur.
Les journaux système indiquent que ISAKMP le message 1 est envoyé à partir du cookie initiateur, mais les négociations échouent « En raison du PA Firewall délai d’attente ».

      Journaux système

Ikemgr.log montre ci-dessous:
2021-07-08 19:50:07.402 -0700  [INFO]: {    4:     }: test: IKEv2 SA test initiate start.
2021-07-08 19:50:07.402 -0700  [PNTF]: {    4:     }: ====> IKEv2 IKE SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway test <====
                                                      ====> Initiated SA: 10.129.83.2[500]-10.129.83.221[500] SPI:50962cd283aa42d7:0000000000000000 SN:1034 <====
2021-07-08 19:50:07.456 -0700  [PWRN]: {    4:     }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe95527e480 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:12.052 -0700  [PWRN]: {    4:     }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:22.052 -0700  [PWRN]: {    4:     }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:50:42.052 -0700  [PWRN]: {    4:     }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe95527e480 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.
2021-07-08 19:51:22.052 -0700  [PWRN]: {    4:     }: 10.129.83.2[500] - 10.129.83.221[500]:0x7fe9552e9770 [test:1034] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.


 

Environment


  • Palo Alto Firewall.
  • N’importe quel PAN-OSfichier .
  • IPSec VPN.
  • Phase 1.

Cause


Cela se produit lorsqu’il y a une incompatibilité de configuration dans la IKE version sur les périphériques locaux et homologues.
 

Resolution


Vérifiez la configuration de la version (sous Profils réseau > réseau > IKE passerelle) sur le Palo Alto Firewall (initiateur) et faites-la correspondre à la configuration du périphérique homologue ou vous pouvez vérifier la version sur le périphérique homologue pour la IKE IKE faire correspondre avec le local.

IKE Passerelle
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000oMIvCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language