Demande client
Un VPN IPSec de site à site entre un pare-feu Palo Alto Networks et un pare-feu d'un autre fournisseur est configuré.
La phase 1 réussit, mais la négociation de phase 2 échoue.
UN regard sur le ikemgr. log avec la commande CLI:
> queue suivre Oui mp-log ikemgr.log
affiche les erreurs suivantes:
(la description contient'message de notification de protocole IKE reçu: non valide-ID-INFORMATION (18). ')
et
La négociation de phase-2 de IKE est échouée en tant qu'initiateur, mode rapide. SA failed : 216.204.241.93[500]-216.203.80.108[500] message id : 0x43D098BB. En raison du délai de négociation
Cause
La défaillance de phase-2 la plus fréquente est due à une incompatibilité d'ID de proxy.
Résolution
Pour résoudre les incompatibilités d'ID de proxy, veuillez essayer les éléments suivants:
- Vérifiez les paramètres d'identification du proxy sur le pare-feu de Palo Alto Networks et le pare-feu de L'autre côté.
Remarque: L'ID de proxy pour les autres fournisseurs de pare-feu peut être appelé liste d'accès ou liste de contrôle d'accès (ACL). - Vérifiez également la cryptographie IPSec pour vous assurer que les propositions correspondent de part et d'autre.
Voir aussi
Pour plus d'informations sur IPSec, veuillez consulter le:
IPSec et le tunneling - liste de ressources
propriétaire : vvasilasco