So beheben Sie Probleme mit dem Ausfall des IPSec-Tunnels VPN
88617
Created On 08/08/22 19:10 PM - Last Modified 10/30/23 21:43 PM
Objective
So beheben Sie Diskrepanzen und/oder Fehlkonfigurationen für einen IPSec-Tunnel VPN
Environment
- PAN-OS
- Palo Alto Netzwerke firewall , die mit IPSec-Tunnel VPN konfiguriert sind
Procedure
- Wenn das Systemprotokoll "<IKEGateway> nicht authentifiziert NO_PROPOSAL_CHOSEN empfangen wird, müssen Sie möglicherweise die Einstellungen überprüfen IKE .
- Gehen Sie zu Network > Crypto Profile > IKE Encryption und überprüfen Sie, ob der Verschlüsselungsalgorithmus für Phase 1 auf den gleichen wie der VPN des Peers eingestellt ist
Detaillierte Schritte hier: Nichtübereinstimmung der Verschlüsselungsphase 1
- Gehen Sie zu Network > Crypto Profile > IKE Authentication und überprüfen Sie, ob der Authentifizierungsalgorithmus für Phase 1 auf den gleichen wie der VPN des Peers eingestellt ist
Detaillierte Schritte finden Sie hier: Nichtübereinstimmung der Authentifizierungsphase 1
- Wechseln Sie zu Network > Crypto Profile > IKE DH Group und überprüfen Sie, ob der DH Gruppenalgorithmus für Phase 1 auf den gleichen Algorithmus wie der VPN des Peers eingestellt ist
Detaillierte Schritte hier: DH Gruppenphase 1 Diskrepanz
- Wenn das Systemprotokoll "empfangene Benachrichtigung vom Typ NO_PROPOSAL_CHOSEN" und/oder "Nachricht fehlt IDr-Nutzlast" angezeigt wird
- Wechseln Sie zu Network > IPSec Crypto Profile > Encryption, und überprüfen Sie, ob der Verschlüsselungsalgorithmus für Phase 2 auf den gleichen Wert wie der VPN des Peers eingestellt ist
Detaillierte Schritte hier: Nichtübereinstimmung der Verschlüsselungsphase 2
- Wechseln Sie zu Network > IPSec Crypto Profile > Authentication und überprüfen Sie, ob der Authentifizierungsalgorithmus für Phase 2 auf den gleichen Wert wie der VPN des Peers eingestellt ist
Detaillierte Schritte finden Sie hier: Nichtübereinstimmung der Authentifizierungsphase 2
- Wenn das Systemprotokoll "Die untergeordnete SA IKEv2-Aushandlung ist fehlgeschlagen empfangen KE , wird der Typ %d, erwarteter %d" angezeigt.
- Wechseln Sie zu Network > IPSec Crypto Profile > DH Group, und überprüfen Sie, ob der Gruppenalgorithmus für Phase 2 auf den gleichen Algorithmus DH wie der VPN des Peers eingestellt ist
Detaillierte Schritte finden Sie hier: DH Diskrepanz in der Gruppenphase 2
- Wenn das Systemprotokoll "IKEv2-Aushandlung SA ist fehlgeschlagen, wahrscheinlich aufgrund einer Nichtübereinstimmung des vorinstallierten Schlüssels" oder "Protokollbenachrichtigungsmeldung empfangen: empfangene Benachrichtigung vom Typ AUTHENTICATION_FAILED"IKE angezeigt wird.
- Gehen Sie zu Network > Gateway, bearbeiten Sie IKE Gateway > IKE Pre-Shared Key > und überprüfen Sie, ob der Pre-Shared Key genau auf den Pre-Shared VPN Key des Peers eingestellt ist
Detaillierte Schritte hier: Nichtübereinstimmung mit vorinstallierten Schlüsseln
- Wenn die Protokollbenachrichtigung " Systemprotokoll empfangenIKE : empfangene Benachrichtigung vom Typ TS_UNACCEPTABLE" oder "IKEv2-untergeordnete SA Aushandlung bei der Verarbeitung des Datenverkehrsauswahls fehlgeschlagen. kann keinen passenden IPSec-Tunnel für die Auswahl des empfangenen Datenverkehrs finden" angezeigt wird.
- Wechseln Sie zu Netzwerk > IPSec-Tunnel, bearbeiten Sie > IPSec-Tunnel- > Proxy-IDs und stellen Sie sicher, dass jeder Proxy-Eintrag ID eine exakte Spiegelung (entgegengesetzt) des Proxy-Eintrags ID auf dem VPN Peer ist
Detaillierte Schritte hier: Proxy-Einträge ID spiegeln sich nicht exakt wider
Hinweis: Proxy-IDs werden auch als "Traffic Selectors" bezeichnet
Additional Information
In den meisten Fällen kann Ihnen der folgende schnelle 4-Schritte-Prozess dabei helfen, IPSec-Tunnelprobleme VPN zu identifizieren, zu diagnostizieren und zu beheben/zu beheben:
- Navigieren Sie zu Überwachen > Systemprotokolle - suchen Sie nach Fehlern im Zusammenhang mit IKE, IPSec oder VPN
- CLIGeben Sie > weniger mp-log ikemgr ein.log - suchen Sie nach bestimmten Fehlern im Zusammenhang mit dem Fehler
- Verwenden Sie CLI show-Befehle - suchen Sie nach dem Fehler oder der Fehlkonfiguration
- Navigieren Sie zu Monitor > Packet Capture - nehmen Sie ein nach 500 gefiltertes UDP pcap für die beiden VPN Peers IP, laden Sie sie herunter und öffnen Sie sie in Wireshark und überprüfen Sie die 500 Pakete, um zu sehen, welche Parameter ausgehandelt werden - identifizieren Sie von dort aus die UDP Nichtübereinstimmung oder falsche Konfiguration
Überprüfen Sie auch HOW TO TROUBLESHOOT IPSEC VPN CONNECTIVITY ISSUES
Wenn Ihr Fall nicht mit den in diesem Artikel genannten Fällen übereinstimmt, lesen Sie Ressourcenliste: IPSec-Konfiguration und Fehlerbehebung oder wenden Sie sich an unser technisches Support-Team.