Problem
Es wird eine Website-to-Site IPSec VPN zwischen einer Palo Alto Networks Firewall und einer Firewall von einem anderen Anbieter konfiguriert.
Phase 1 gelingt, aber Phase-2-Verhandlungen scheitern.
EIN Blick auf das ikemgr. log mit dem CLI-Befehl:
> tail folgen ja mp-Log ikemgr.log
zeigt folgende Fehler:
(Beschreibung enthält ' IKE Protokollmeldung Nachricht erhalten: INVALID-ID-Informationen (18). ')
und
IKE Phase-2-Verhandlung ist als Initiator, Quick-Modus gescheitert. Failed SA: 216.204.241.93[500]-216.203.80.108[500] message-Id: 0x43D098BB. Aufgrund von Verhandlungen Timeout
Ursache
Der häufigste Phase-2-Ausfall ist auf Proxy-ID-Missverhältnis zurückzuführen.
Lösung
Um das Missverhältnis von Proxy-ID zu beheben, versuchen Sie bitte Folgendes:
- ÜberPrüfen Sie die Proxy-ID-Einstellungen auf der Palo Alto Networks Firewall und der Firewall auf der anderen Seite.
Hinweis: Proxy-ID für andere Firewall-Anbieter kann als ZugriffsListe oder zugriffsKONTROLLLISTE (ACL) bezeichnet werden. - Überprüfen Sie auch die IPSec Crypto, um sicherzustellen, dass die Vorschläge auf beiden Seiten übereinstimmen.
Siehe auch
Weitere Informationen zu IPSec finden Sie unter:
IPSec und tunneling - Ressourcenliste
Besitzer: Vvasilasco