VPN fallando con 'Ikev2 desconocido par' Error

Resumen

El túnel de la VPN entre dos dispositivos falla con error "desconocido ikev2 peer," incluso si todos los perfiles de crypto, pre-shared-llaves y proxy coincide con el ID. Este artículo presenta los detalles de la causa de este mensaje de error

Incidencia

Generalmente, este error aparece al construir el túnel con Azure de Microsoft. Sin embargo, no se limita a sólo Microsoft Azure y podría ser con cualquier dispositivo de peer VPN. Beliw se muestra es cómo se ven los mensajes de error en el firewall de Palo Alto Networks:

"Par de ikev2 desconocido" significa que hay una incompatibilidad de versión de IKE entre los pares VPN. Uno de los pares es usar IKEv1, y otro par es usar IKEv2. Esto pudo comprobarse a través de las capturas de paquetes como se muestra a continuación.

Nota: Microsoft Azure por defecto, utiliza la versión IKEv2 a menos que se especifique, y es la causa común de este error.

Un mensaje envío de IKEv2 igual:

Otro mensaje envío de IKEv1 igual:

Resolución

Para solucionar este problema, versiones de IKE deben corresponder a ambos compañeros.

Nota: antes de la versión 7,0, el cortafuegos de Palo Alto Networks no soporta la versión IKEv2 por lo tanto, es necesario cambiar la versión IKE en el peer de VPN a v1. A partir de PAN OS 7.0, puede controlar la versión de IKE desde el firewall de Palo Alto Networks sí mismo.

Para más información sobre cómo cambiar la versión IKE en palo alto Firewall de redes, por favor haga clic aquí