IPSec VPN-Fehler: IKE Phase-2-Verhandlung ist als Initiator, Quick-Modus gescheitert

IPSec VPN-Fehler: IKE Phase-2-Verhandlung ist als Initiator, Quick-Modus gescheitert

311930
Created On 09/25/18 19:43 PM - Last Modified 06/08/23 00:56 AM


Resolution


Problem

Es wird eine Website-to-Site IPSec VPN zwischen einer Palo Alto Networks Firewall und einer Firewall von einem anderen Anbieter konfiguriert.

Phase 1 gelingt, aber Phase-2-Verhandlungen scheitern.

 

EIN Blick auf das ikemgr. log mit dem CLI-Befehl:

> tail folgen ja mp-Log ikemgr.log

 

zeigt folgende Fehler:

(Beschreibung enthält ' IKE Protokollmeldung Nachricht erhalten: INVALID-ID-Informationen (18). ')

und

IKE Phase-2-Verhandlung ist als Initiator, Quick-Modus gescheitert. Failed SA: 216.204.241.93[500]-216.203.80.108[500] message-Id: 0x43D098BB. Aufgrund von Verhandlungen Timeout

 

 

Ursache

Der häufigste Phase-2-Ausfall ist auf Proxy-ID-Missverhältnis zurückzuführen.

 

Lösung

Um das Missverhältnis von Proxy-ID zu beheben, versuchen Sie bitte Folgendes:

  1. ÜberPrüfen Sie die Proxy-ID-Einstellungen auf der Palo Alto Networks Firewall und der Firewall auf der anderen Seite.
    Hinweis: Proxy-ID für andere Firewall-Anbieter kann als ZugriffsListe oder zugriffsKONTROLLLISTE (ACL) bezeichnet werden.
  2. Überprüfen Sie auch die IPSec Crypto, um sicherzustellen, dass die Vorschläge auf beiden Seiten übereinstimmen.

 

Siehe auch

Weitere Informationen zu IPSec finden Sie unter:

IPSec und tunneling - Ressourcenliste

 

Besitzer: Vvasilasco
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbXCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language