IPSec 第 1 阶段协商失败，系统日志中显示“NO_PROPOSAL_CHOSEN” -DH阶段 1 中的组不匹配

• VPN 隧道不上或下
• 系统日志显示“未选择任何提案”。
• 系统日志显示“<IKEGateway> 收到未经身份验证的 NO_PROPOSAL_CHOSEN，您可能需要检查IKE设置”
• CLI 在显示不同的两个对等防火墙上显示命令输出DH组（例如：DH第20组对DH第 14 组）
• 数据包捕获显示“NO_PROPOSAL_CHOSEN”IKE数据包（UDP端口 500）

>show vpn gateway name <name>

FW1> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.200                    203.0.113.100            [PSK][DH20][AES256][SHA512]

FW2> show vpn gateway name IKEGatewayTest1
GwID   Name          Peer-Address/ID                Local Address/ID                 Proposals    
1   IKEGatewayTest1   203.0.113.100                    203.0.113.200            [PSK][DH19][AES256][SHA512]

系统日志
导航监控 > 系统日志


线鲨
在两者上进行数据包捕获VPN同行并在 Wireshark 中并排打开它们

这将导致VPN协商失败并显示此消息：


ikemgr.log
通过运行以下命令CLI在两个同行

>less mp-log ikemgr.log

2022-06-27 12:10:41 [ERR ]: Proposal Unmatched.!
2022-06-27 12:10:41 [PWRN]: [IKEGatewayTest1:360] IKEv2 proposal doesn't match, please check crypto setting on both sides.
2022-06-27 12:10:41 [PERR]: no proposal chosen.
2022-06-27 12:11:40 [PWRN]: [IKEGatewayTest1:354] unauthenticated NO_PROPOSAL_CHOSEN received, you may need to check IKE settings.

• PAN-OS
• 帕洛阿尔托网络firewall配置了 IPSecVPN隧道

1. 配置双方VPN有一个匹配DH团体算法

（如果你的VPN同行是不同的供应商firewall, 执行他们的等效/相同阶段 1DH团体他们的配置更改firewall如果它们是不匹配的来源）

2. 执行一个犯罪
3. 每次运行以下命令几次两个都这VPN同行firewallCLI 让他们重新启动和形成：

>clear vpn ike-sa gateway <name>
>clear vpn ipsec-sa tunnel <name>