Übersicht
Der VPN-Tunnel zwischen zwei Geräten schlägt fehl mit Fehler "unbekannter ikev2 Peer," auch wenn die Krypto-Profile, pre-shared-Keys und Proxy-IDs entsprechen. Dieser Artikel bietet Informationen über die Ursache dieser Fehlermeldung
Problem
Dieser Fehler wird im allgemeinen gesehen, beim Bau des Tunnels mit Microsoft Azure. Jedoch beschränkt sich nicht nur Microsoft Azure und könnte mit einem VPN Peer-Gerät sein. Gezeigte Beliw ist wie die Fehlermeldungen auf der Palo Alto Networks Firewall gesehen werden:
"Unbekannter ikev2 Peer" bedeutet, dass es eine IKE-Versionskonflikt zwischen den VPN-Peers. Der Peer verwendet IKEv1 und einem anderen Peer nutzt IKEv2. Dies könnte durch das Paket nehmen überprüft werden, wie unten dargestellt.
Hinweis: Microsoft Azure standardmäßig verwendet IKEv2 Version, sofern nicht angegeben, und ist die häufige Ursache für diesen Fehler.
Eine Peer-sendenden IKEv2-Nachricht:
Eine weitere Peer-sendenden IKEv1 Nachricht:
Lösung
Um dieses Problem zu beheben, sollten IKE Versionen auf beiden Peers angepasst werden.
Hinweis: vor der Version 7,0 unterstützt die Palo Alto Networks Firewall IKEv2 Version nicht, daher müssen Sie die IKE-Version auf dem VPN-Peer auf v1 ändern. Ausgehend von PAN-OS 7.0, können Sie die IKE-Version aus der Palo Alto Networks Firewall selbst steuern.
Für weitere Informationen, wie Sie die IKE-Version auf Palo Alto Networks Firewall ändern, klicken Sie bitte hier