VPN échoue avec l’erreur « inconnu ikev2 peer »
Resolution
Vue d’ensemble
Le tunnel VPN entre deux périphériques échoue avec l’erreur « Unknown ikev2 peer, » même si tous les profils de crypto, pre-shared-clés et proxy ID correspondent. Cet article présente les détails de la cause de ce message d’erreur
Demande client
Généralement, cette erreur est visible lors de la construction du tunnel avec Microsoft Azure. Toutefois, il n’est pas limitée à seulement Microsoft Azure et pourrait être avec n’importe quel appareil de peer VPN. Montre beliw est comment les messages d’erreur apparaissent sur le pare-feu de Palo Alto Networks :
« Peer ikev2 inconnu » signifie qu’il y a une incompatibilité de version IKE entre les pairs VPN. L’un de l’homologue utilise IKEv1 et un autre pair utilise IKEv2. Cela pourrait être vérifié par l’intermédiaire de la capture de paquets comme indiqué ci-dessous.
Remarque: Microsoft Azure par défaut utilise la version IKEv2, sauf si elle est spécifiée, et est la cause commune de cette erreur.
Un envoi IKEv2 message point :
Un autre envoi IKEv1 message point :
Résolution
Pour résoudre ce problème, les versions de IKE doivent correspondre sur les deux homologues.
Note: avant la version 7,0, le pare-feu de Palo Alto Networks ne prend pas en charge la version IKEv2 donc, vous devez changer la version IKE sur le peer VPN à v1. A partir de PAN-OS 7.0, vous pouvez contrôler la version de IKE du pare-feu de Palo Alto Networks lui-même.
Pour plus d'informations sur la façon de modifier la version IKE sur le pare-feu de Palo Alto Networks, veuillez cliquer ici