如何排除 IPSec 故障VPN向下隧道

• PAN-OS
• 帕洛阿尔托网络firewall配置了 IPSecVPN隧道

1. 如果你看到系统日志“<IKEGateway> 收到未经身份验证的 NO_PROPOSAL_CHOSEN，您可能需要检查IKE设置”

1. 去网络 >IKE加密配置文件 > 加密并验证加密阶段 1 的算法设置为与VPN同行的

2. 去网络 >IKE加密配置文件 > 身份验证并验证验证阶段 1 的算法设置为与VPN同行的

3. 去网络 >IKE加密简介 >DH团体并验证DH团体阶段 1 的算法设置为与VPN同行的

4. 如果你看到系统日志“收到通知类型 NO_PROPOSAL_CHOSEN”和/或“消息缺少 IDr 负载”

1. 去网络 > IPSec 加密配置文件 > 加密并验证加密阶段 2 的算法设置为与VPN同行的

2. 去网络 > IPSec 加密配置文件 > 身份验证并验证验证阶段 2 的算法设置为与VPN同行的

6. 如果你看到系统日志“IKEv2 孩子SA协商失败收到KE输入 %d，预计 %d"

1. 去网络 > IPSec 加密配置文件 >DH团体并验证DH团体阶段 2 的算法设置为与VPN同行的

7. 如果你看到系统日志“IKEv2SA协商失败可能是由于预共享密钥不匹配”或“IKE收到协议通知消息：收到通知类型 AUTHENTICATION_FAILED”

1. 去网络 >IKE网关 > 编辑IKE网关 > 预共享密钥并验证预共享密钥设置为与VPN对端的预共享密钥

8. 如果你看到系统日志“IKE收到协议通知消息：收到通知类型 TS_UNACCEPTABLE”或“IKEv2 childSA处理流量选择器时协商失败。无法为接收到的流量选择器找到匹配的 IPSec 隧道”

1. 去网络 > IPSec 隧道 > 编辑 IPSec 隧道 > 代理 ID并验证每个代理ID条目是代理的精确镜像（相反）ID进入VPN同行

• 导航监控 > 系统日志- 查找与以下内容相关的错误IKE, IPSec, 或 VPN
• 来自CLI， 类型> 少 mp 日志 ikemgr.log - 查找与失败相关的特定错误
• 使用CLI显示命令- 查找错误或配置错误
• 导航监控 > 数据包捕获- 采取 pcap 过滤UDP两人500VPN同行IP的，下载并在 Wireshark 中打开，查看UDP500 个数据包以查看正在协商的参数 - 从那里识别不匹配或不正确的配置

还要检查 HOW TO TROUBLESHOOT IPSEC VPN CONNECTIVITY ISSUES

如果您的案例与本文中提到的案例不符，请参阅资源列表：IPSec 配置和故障排除或联系我们的技术支持团队。