Cómo solucionar problemas de IPSec VPN Tunnel Down
88855
Created On 08/08/22 19:10 PM - Last Modified 10/30/23 21:43 PM
Objective
Para resolver discrepancias o configuraciones incorrectas para un túnel IPSec VPN
Environment
- PAN-OS
- Palo Alto Networks firewall configurado con túnel IPSec VPN
Procedure
- Si ve el registro del sistema "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"
- Vaya a Cifrado de >> IKE de perfil criptográfico de red y verifique que el algoritmo de cifrado para la fase 1 esté configurado en el mismo que el VPN del par
Pasos detallados aquí: Falta de coincidencia de la fase 1 de cifrado
- Vaya a Autenticación de > perfil criptográfico de red > IKE y verifique que el algoritmo de autenticación para la fase 1 esté configurado en el mismo que el VPN del par
Pasos detallados aquí: Falta de coincidencia de la fase 1 de autenticación
- Vaya a Network > Crypto Profile > IKE DH Group y verifique que el algoritmo de DH grupo para la Fase 1 esté configurado en el mismo que el VPN del mismo nivel.
Pasos detallados aquí: DH Desajuste de la fase de grupos 1
- Si ve el registro del sistema "recibido notificar el tipo NO_PROPOSAL_CHOSEN" y/o "el mensaje carece de carga útil IDr"
- Vaya a Network > IPSec Crypto Profile > Encryption y verifique que el algoritmo de cifrado para la fase 2 esté configurado en el mismo que el VPN del par
Pasos detallados aquí: Falta de coincidencia de la fase 2 de cifrado
- Vaya a Autenticación de > de perfil criptográfico IPSec de red > y verifique que el algoritmo de autenticación para la fase 2 esté configurado en el mismo que el VPN del par
Pasos detallados aquí: Falta de coincidencia de la fase 2 de autenticación
- Si ve el registro del sistema "Error en la negociación secundaria SA de IKEv2 se recibió KE , escriba %d, esperado %d"
- Vaya a Network > IPSec Crypto Profile > DH Group y verifique que el algoritmo de DH grupo para la fase 2 esté configurado en el mismo que el VPN del par
Pasos detallados aquí: DH Desajuste de la fase de grupos 2
- Si ve el registro del sistema "La negociación IKEv2 SA ha fallado probablemente debido a una falta de coincidencia de clave previamente compartida" o "mensaje de notificación de protocolo recibido: recibido notificar tipo AUTHENTICATION_FAILED"IKE
- Vaya a Puerta de enlace de > IKE de red > edite IKE Puerta de enlace > clave precompartida y verifique que la clave precompartida esté establecida exactamente igual que la VPN clave precompartida del mismo nivel.
Pasos detallados aquí: Discrepancia de clave precompartida
- Si ve el Registro del sistema "mensaje de notificación de protocolo recibido: recibido tipo de notificación TS_UNACCEPTABLE" o "Error en la negociación secundaria SA de IKEv2 al procesar el selector de tráfico. no se puede encontrar el túnel IPSec coincidente para el selector de tráfico recibido"IKE
- Vaya a Túneles IPSec de red > > edite los ID de proxy > túnel IPSec y verifique que cada entrada de proxy sea un espejo exacto (opuesto) de la entrada de proxy ID ID en el VPN mismo nivel.
Nota: Los ID de proxy también se conocen como "Selectores de tráfico"
Additional Information
En la mayoría de los casos, el siguiente proceso rápido de 4 pasos puede ayudarle a identificar, diagnosticar y solucionar o resolver cualquier problema del túnel IPSec VPN :
- Vaya a Supervisar > registros del sistema: busque errores relacionados con IKE, IPSec o VPN
- Desde el , escriba > menos mp-log ikemgr.log - busque errores específicos relacionados con el CLIerror
- Usar CLI comandos show: busque el error o la configuración incorrecta
- Navegue hasta Monitorear > captura de paquetes: tome un pcap filtrado por UDP 500 para los dos VPN pares IP, descárguelos y ábralos en Wireshark y revise los UDP 500 paquetes para ver qué parámetros se están negociando: identifique la falta de coincidencia o la configuración incorrecta desde allí
Comprobar también HOW TO TROUBLESHOOT IPSEC VPN CONNECTIVITY ISSUES
Si su caso no coincide con los casos mencionados en este artículo, consulte Lista de recursos: Configuración y solución de problemas de IPSec o póngase en contacto con nuestro equipo de soporte técnico.