VPN 的失败与错误 '未知的 ikev2 同级'
58495
Created On 09/25/18 19:48 PM - Last Modified 06/06/23 02:52 AM
Resolution
概述
两个设备之间的 VPN 隧道失败与错误"未知的 ikev2 同级,"即使所有加密配置文件、预 shared 键和代理 Id 匹配。 这篇文章的特点原因此错误消息的详细的信息
问题
通常,构建与微软 Azure 隧道时,将出现此错误。然而,它并不局限于只是微软 Azure 和可以与任何 VPN 等设备。所示的 beliw 是如何在帕洛阿尔托网络防火墙上看到的错误消息:
"未知的 ikev2 同行"意味着 VPN 同行之间 IKE 版本不匹配。同行之一使用 IKEv1,和另一个同伴使用 IKEv2。这可以通过数据包捕获验证,如下所示。
注: 默认情况下, Microsoft Azure 使用 IKEv2 版本, 除非指定, 并且是此错误的常见原因.
一个同行 IKEv2 消息发送:
另一个对等发送 IKEv1 消息:
解决办法
若要修复此问题,应在两端匹配 IKE 版本。
注意: 在版本7.0 之前, 帕洛阿尔托网络防火墙不支持 IKEv2 版本因此, 您需要在 VPN 对等点上更改 IKE 版本 v1. 从泛 OS 7.0 开始,您可以控制从帕洛阿尔托网络防火墙本身的 IKE 版本。
有关如何更改帕洛阿尔托网络防火墙的 IKE 版本的详细信息, 请单击此处