Error de VPN IPSec: se ha fallado la negociación IKE Phase-2 como iniciador, modo rápido

Error de VPN IPSec: se ha fallado la negociación IKE Phase-2 como iniciador, modo rápido

311928
Created On 09/25/18 19:43 PM - Last Modified 06/08/23 00:56 AM


Resolution


Incidencia

Se configura una VPN IPSec de sitio a sitio entre un cortafuegos de Palo Alto Networks y un cortafuegos de un proveedor diferente.

La fase 1 tiene éxito, pero la negociación de la fase 2 falla.

 

UN vistazo al ikemgr. log con el comando CLI:

> cola siga sí mp-registro ikemgr.log

 

muestra los siguientes errores:

(descripción contiene ' mensaje de notificación de protocolo IKE recibido: invalid-ID-Information (18). ')

y

La negociación de fase 2 de IKE se ha fallado como iniciador, modo rápido. No se pudo SA: 216.204.241.93[500]-216.203.80.108[500] mensaje id: 0x43D098BB. Debido al tiempo de espera de negociación

 

 

Causa

La falla de fase 2 más común se debe a la falta de coincidencia de ID de proxy.

 

Resolución

Para resolver la incompatibilidad de ID de proxy, por favor pruebe lo siguiente:

  1. Compruebe la configuración de ID de proxy en el cortafuegos de Palo Alto Networks y el cortafuegos del otro lado.
    Nota: la ID de proxy para otros proveedores de Firewall puede ser denominada lista de acceso o lista de control de acceso (ACL).
  2. También, compruebe el Crypto de IPSec para asegurarse de que las propuestas coincidan en ambos lados.

 

Ver también

Para más información sobre IPSec, consulte:

IPSec y el hacer un túnel - lista de recursos

 

Propietario: vvasilasco
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClbXCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language