IKE Phase-1 协商失败作为响应方

IKE Phase-1 协商失败作为响应方

96197
Created On 09/25/18 19:44 PM - Last Modified 06/07/23 08:29 AM


Resolution


详细

系统日志显示以下错误信息:

IKE phase-1 协商失败作为响应方、主模式。失败的 SA: 10.1. 1.1 [500]-10.2. 2.2 [500] cookie:32718ea3e053bc01:99d432334b1acc03。由于超时。

  • 不可能从 PAN 的 vpn 网关 ip ping 到隧道另一端防火墙的 vpn 网关 ip。
  • 如果未指定源 IP (泛型 VPN 网关 ip), 则可以从平底锅 ping 到其他防火墙的 VPN 网关 ip。
  • IPSec VPN 运行正常。
  • VPN 配置在两个防火墙上都是正确的。
  • 两个防火墙上的安全策略配置都是正确的。

解决办法

检查防火墙之间的设备路由表。  可能需要添加或删除路由表项以提供正确的网络连接。

所有者: jdavis
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClcOCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language