So beheben Sie Probleme mit dem Ausfall des IPSec-Tunnels VPN

• PAN-OS
• Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind

1. Wenn das Systemprotokoll "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen wird, müssen Sie möglicherweise die Einstellungen überprüfen IKE .

1. Gehen Sie zu Network > Crypto Profile > IKE Encryption und überprüfen Sie, ob der Verschlüsselungsalgorithmus für Phase 1 auf den gleichen wie der VPN des Peers eingestellt ist

2. Gehen Sie zu Network > Crypto Profile > IKE Authentication und überprüfen Sie, ob der Authentifizierungsalgorithmus für Phase 1 auf den gleichen wie der VPN des Peers eingestellt ist

3. Wechseln Sie zu Network > Crypto Profile > IKE DH Group und überprüfen Sie, ob der DH Gruppenalgorithmus für Phase 1 auf den gleichen Algorithmus wie der VPN des Peers eingestellt ist

4. Wenn das Systemprotokoll "empfangene Benachrichtigung vom Typ NO_PROPOSAL_CHOSEN" und/oder "Nachricht fehlt IDr-Nutzlast" angezeigt wird

1. Wechseln Sie zu Network > IPSec Crypto Profile > Encryption, und überprüfen Sie, ob der Verschlüsselungsalgorithmus für Phase 2 auf den gleichen Wert wie der VPN des Peers eingestellt ist

2. Wechseln Sie zu Network > IPSec Crypto Profile > Authentication und überprüfen Sie, ob der Authentifizierungsalgorithmus für Phase 2 auf den gleichen Wert wie der VPN des Peers eingestellt ist

6. Wenn das Systemprotokoll "Die untergeordnete SA IKEv2-Aushandlung ist fehlgeschlagen empfangen KE , wird der Typ %d, erwarteter %d" angezeigt.

1. Wechseln Sie zu Network > IPSec Crypto Profile > DH Group, und überprüfen Sie, ob der Gruppenalgorithmus für Phase 2 auf den gleichen Algorithmus DH wie der VPN des Peers eingestellt ist

7. Wenn das Systemprotokoll "IKEv2-Aushandlung SA ist fehlgeschlagen, wahrscheinlich aufgrund einer Nichtübereinstimmung des vorinstallierten Schlüssels" oder "Protokollbenachrichtigungsmeldung empfangen: empfangene Benachrichtigung vom Typ AUTHENTICATION_FAILED"IKE angezeigt wird.

1. Gehen Sie zu Network > Gateway, bearbeiten Sie IKE Gateway > IKE Pre-Shared Key > und überprüfen Sie, ob der Pre-Shared Key genau auf den Pre-Shared VPN Key des Peers eingestellt ist

8. Wenn die Protokollbenachrichtigung " Systemprotokoll empfangenIKE : empfangene Benachrichtigung vom Typ TS_UNACCEPTABLE" oder "IKEv2-untergeordnete SA Aushandlung bei der Verarbeitung des Datenverkehrsauswahls fehlgeschlagen. kann keinen passenden IPSec-Tunnel für die Auswahl des empfangenen Datenverkehrs finden" angezeigt wird.

1. Wechseln Sie zu Netzwerk > IPSec-Tunnel, bearbeiten Sie > IPSec-Tunnel- > Proxy-IDs und stellen Sie sicher, dass jeder Proxy-Eintrag ID eine exakte Spiegelung (entgegengesetzt) des Proxy-Eintrags ID auf dem VPN Peer ist

• Navigieren Sie zu Überwachen > Systemprotokolle - suchen Sie nach Fehlern im Zusammenhang mit IKE, IPSec oder VPN
• CLIGeben Sie > weniger mp-log ikemgr ein.log - suchen Sie nach bestimmten Fehlern im Zusammenhang mit dem Fehler
• Verwenden Sie CLI show-Befehle - suchen Sie nach dem Fehler oder der Fehlkonfiguration
• Navigieren Sie zu Monitor > Packet Capture - nehmen Sie ein nach 500 gefiltertes UDP pcap für die beiden VPN Peers IP, laden Sie sie herunter und öffnen Sie sie in Wireshark und überprüfen Sie die 500 Pakete, um zu sehen, welche Parameter ausgehandelt werden - identifizieren Sie von dort aus die UDP Nichtübereinstimmung oder falsche Konfiguration

Überprüfen Sie auch HOW TO TROUBLESHOOT IPSEC VPN CONNECTIVITY ISSUES

Wenn Ihr Fall nicht mit den in diesem Artikel genannten Fällen übereinstimmt, lesen Sie Ressourcenliste: IPSec-Konfiguration und Fehlerbehebung oder wenden Sie sich an unser technisches Support-Team.