Comment faire pour résoudre les problèmes de descente du tunnel IPSec VPN

• PAN-OS
• Palo Alto Networks firewall configuré avec IPSec VPN Tunnel

1. Si vous voyez le journal système « <IKEGateway> non authentifié NO_PROPOSAL_CHOSEN reçu, vous devrez peut-être vérifier IKE les paramètres »

1. Accédez à Network > Crypto Profile > IKE Encryption (Profil de chiffrement réseau Encryption (Profil de chiffrement réseau crypto et chiffrement) et vérifiez que l'algorithme de chiffrement de la phase 1 est défini sur le même que celui de l VPN 'homologue

2. Accédez à Network > Crypto Profile > IKE Authentication (Profil de chiffrement réseau Authentification Authentication (Profil de chiffrement réseau Authentification pour la phase 1) est défini sur le même que celui de l VPN 'homologue.

3. Accédez à Network > Crypto Profile > IKE DH Group et vérifiez que l'algorithme de DH groupe de la phase 1 est défini sur le même que celui de l VPN 'homologue

4. Si vous voyez le journal système « reçu de type NO_PROPOSAL_CHOSEN » et/ou « message manquant de charge utile IDr »

1. Accédez à Network > IPSec Crypto Profile > Encryption (Profil cryptographique IPSec Encryption (Profil cryptographique IPSec Encryption (Profil cryptographique IPSec réseau IPSec Encryption (Profil cryptographique IPSec Encryption et vérifiez que l'algorithme de chiffrement de la phase 2 est le même que celui de l VPN 'homologue.

2. Accédez à Network > IPSec Crypto Profile > Authentication (Profil cryptographique IPSec Authentication (Profil cryptographique IPSec Authentication (Profil cryptographique IPSec Authentification et vérifiez que l'algorithme d' authentification de la phase 2 est identique à celui de l VPN 'homologue.

6. Si vous voyez le journal système « La négociation enfant SA IKEv2 a échoué KE , tapez %d, attendu %d »

1. Accédez à Network > IPSec Crypto Profile > DH Group et vérifiez que l'algorithme de DH groupe pour la phase 2 est défini sur le même que celui de l VPN 'homologue

7. Si vous voyez le journal système « La négociation IKEv2 SA a échoué probablement en raison d’une incompatibilité de clé pré-partagée » ou «IKE Message de notification de protocole reçu : type de notification reçue AUTHENTICATION_FAILED »

1. Accédez à Passerelle > IKE réseau > modifiez IKE la clé de passerelle > pré-partagée et vérifiez que la clé pré-partagée est définie exactement de la même manière que la clé pré-partagée de l VPN 'homologue

8. Si vous voyez le journal système "IKE message de notification de protocole reçu: reçu type de notification TS_UNACCEPTABLE » ou « La négociation enfant SA IKEv2 a échoué lors du traitement du sélecteur de trafic. impossible de trouver le tunnel IPSec correspondant pour le sélecteur de trafic reçu »

1. Accédez à Tunnels IPSec > réseau > modifiez les ID proxy du tunnel IPSec > vérifiez que chaque entrée de proxy est un miroir exact (opposé) de l’entrée proxy ID ID sur l’homologue VPN

• Accédez à Surveiller > les journaux système - recherchez les erreurs liées à IKE, IPSec ou VPN
• À partir du CLI, tapez > moins mp-log ikemgr.log - recherchez les erreurs spécifiques liées à l’échec
• Utiliser CLI les commandes show - recherchez l’erreur ou la mauvaise configuration
• Accédez à Surveiller > capture de paquets - prenez un pcap filtré par UDP 500 pour les deux VPN homologues IP, téléchargez-les et ouvrez-les dans Wireshark, et passez en revue les UDP 500 paquets pour voir quels paramètres sont négociés - identifiez la non-concordance ou la configuration incorrecte à partir de là

Vérifiez également HOW TO TROUBLESHOOT IPSEC VPN CONNECTIVITY ISSUES

Si votre cas ne correspond pas aux cas mentionnés dans cet article, reportez-vous à la liste des ressources : configuration et dépannage IPSec ou contactez notre équipe d'assistance technique.