IPSEC Die Aushandlung in Phase 2 mit Fehlercode 19 fehlgeschlagen

IPSEC Die Aushandlung in Phase 2 mit Fehlercode 19 fehlgeschlagen

65971
Created On 02/11/21 18:06 PM - Last Modified 08/04/22 22:52 PM


Symptom


IPSEC TunnelPhase 2 Negotiation ist als Initiator mit der folgenden Fehlermeldung fehlgeschlagen,
IKEv2 child SA negotiation is failed as initiator, non-rekey. 
Failed SA: x.y.z.q[500]-m.n.p.r[500] message id:0x0000070E. Error code 19

Environment


  • Palo Alto Firewall .
  • PAN-OS 8.1 und höher.
  • IPSEC VPN Tunnel zwischen Peers.

Cause


Die Nichtübereinstimmung der Diffie-Hellman-Schlüssel DH () verursacht dieses Problem.

Resolution


  1. IPSEC Phase-2-Pakete werden verschlüsselt. Die Paketerfassungen können aus diesem Grund nicht überprüft werden, um die Ursache zu identifizieren
  2. Dies führt dazu, dass fehlercode 19 in den Systemprotokollen und ikemgr-Protokollen angezeigt wird.
  3. Überprüfen Sie die DH Gruppenkonfiguration für Ipsec Crypto- und IKE Crypto-Profile, indem Sie durch
  •     GUI: Netzwerk- > Netzwerkprofile > Ipsec Crypto Profile
  •     GUI: Netzwerk- > Netzwerkprofile > IKE Crypto-Profil
  1. Beide sollten die gleiche Gruppe haben DH und auch der Peer am anderen Ende sollte ebenfalls die gleiche Gruppe konfiguriert DH haben.
  2. Das Problem wird behoben, sobald sowohl die lokale als auch die Peerkonfiguration korrigiert wurden.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCrICAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language