Cómo solucionar problemas de IPSec VPN Tunnel Down

• PAN-OS
• Palo Alto Networks firewall configurado con túnel IPSec VPN

1. Si ve el registro del sistema "<IKEGateway> no autenticado NO_PROPOSAL_CHOSEN recibido, es posible que deba verificar IKE la configuración"

1. Vaya a Cifrado de >> IKE de perfil criptográfico de red y verifique que el algoritmo de cifrado para la fase 1 esté configurado en el mismo que el VPN del par

2. Vaya a Autenticación de > perfil criptográfico de red > IKE y verifique que el algoritmo de autenticación para la fase 1 esté configurado en el mismo que el VPN del par

3. Vaya a Network > Crypto Profile > IKE DH Group y verifique que el algoritmo de DH grupo para la Fase 1 esté configurado en el mismo que el VPN del mismo nivel.

4. Si ve el registro del sistema "recibido notificar el tipo NO_PROPOSAL_CHOSEN" y/o "el mensaje carece de carga útil IDr"

1. Vaya a Network > IPSec Crypto Profile > Encryption y verifique que el algoritmo de cifrado para la fase 2 esté configurado en el mismo que el VPN del par

2. Vaya a Autenticación de > de perfil criptográfico IPSec de red > y verifique que el algoritmo de autenticación para la fase 2 esté configurado en el mismo que el VPN del par

6. Si ve el registro del sistema "Error en la negociación secundaria SA de IKEv2 se recibió KE , escriba %d, esperado %d"

1. Vaya a Network > IPSec Crypto Profile > DH Group y verifique que el algoritmo de DH grupo para la fase 2 esté configurado en el mismo que el VPN del par

7. Si ve el registro del sistema "La negociación IKEv2 SA ha fallado probablemente debido a una falta de coincidencia de clave previamente compartida" o "mensaje de notificación de protocolo recibido: recibido notificar tipo AUTHENTICATION_FAILED"IKE

1. Vaya a Puerta de enlace de > IKE de red > edite IKE Puerta de enlace > clave precompartida y verifique que la clave precompartida esté establecida exactamente igual que la VPN clave precompartida del mismo nivel.

8. Si ve el Registro del sistema "mensaje de notificación de protocolo recibido: recibido tipo de notificación TS_UNACCEPTABLE" o "Error en la negociación secundaria SA de IKEv2 al procesar el selector de tráfico. no se puede encontrar el túnel IPSec coincidente para el selector de tráfico recibido"IKE

1. Vaya a Túneles IPSec de red > > edite los ID de proxy > túnel IPSec y verifique que cada entrada de proxy sea un espejo exacto (opuesto) de la entrada de proxy ID ID en el VPN mismo nivel.

• Vaya a Supervisar > registros del sistema: busque errores relacionados con IKE, IPSec o VPN
• Desde el , escriba > menos mp-log ikemgr.log - busque errores específicos relacionados con el CLIerror
• Usar CLI comandos show: busque el error o la configuración incorrecta
• Navegue hasta Monitorear > captura de paquetes: tome un pcap filtrado por UDP 500 para los dos VPN pares IP, descárguelos y ábralos en Wireshark y revise los UDP 500 paquetes para ver qué parámetros se están negociando: identifique la falta de coincidencia o la configuración incorrecta desde allí

Comprobar también HOW TO TROUBLESHOOT IPSEC VPN CONNECTIVITY ISSUES

Si su caso no coincide con los casos mencionados en este artículo, consulte Lista de recursos: Configuración y solución de problemas de IPSec o póngase en contacto con nuestro equipo de soporte técnico.