Incidencia
Se configura una VPN IPSec de sitio a sitio entre un cortafuegos de Palo Alto Networks y un cortafuegos de un proveedor diferente.
La fase 1 tiene éxito, pero la negociación de la fase 2 falla.
UN vistazo al ikemgr. log con el comando CLI:
> cola siga sí mp-registro ikemgr.log
muestra los siguientes errores:
(descripción contiene ' mensaje de notificación de protocolo IKE recibido: invalid-ID-Information (18). ')
y
La negociación de fase 2 de IKE se ha fallado como iniciador, modo rápido. No se pudo SA: 216.204.241.93[500]-216.203.80.108[500] mensaje id: 0x43D098BB. Debido al tiempo de espera de negociación
Causa
La falla de fase 2 más común se debe a la falta de coincidencia de ID de proxy.
Resolución
Para resolver la incompatibilidad de ID de proxy, por favor pruebe lo siguiente:
- Compruebe la configuración de ID de proxy en el cortafuegos de Palo Alto Networks y el cortafuegos del otro lado.
Nota: la ID de proxy para otros proveedores de Firewall puede ser denominada lista de acceso o lista de control de acceso (ACL). - También, compruebe el Crypto de IPSec para asegurarse de que las propuestas coincidan en ambos lados.
Ver también
Para más información sobre IPSec, consulte:
IPSec y el hacer un túnel - lista de recursos
Propietario: vvasilasco