IPSEC La negociación falló en la fase 2 con el código de error 19

IPSEC La negociación falló en la fase 2 con el código de error 19

65909
Created On 02/11/21 18:06 PM - Last Modified 08/04/22 22:52 PM


Symptom


IPSEC La negociación de la fase 2 del túnel falló como iniciador con el mensaje de error visto abajo,
IKEv2 child SA negotiation is failed as initiator, non-rekey. 
Failed SA: x.y.z.q[500]-m.n.p.r[500] message id:0x0000070E. Error code 19

Environment


  • Palo Alto Firewall .
  • PAN-OS 8.1 y superior.
  • IPSEC VPN túnel entre pares.

Cause


La discordancia de las claves Diffie–Hellman ( DH ) causa este problema.

Resolution


  1. IPSEC los paquetes de la fase 2 se cifran. Las capturas de paquetes no se pueden revisar debido a esto para identificar la causa
  2. Esto hace que el código de error 19 aparezca en los registros del sistema y los registros de ikemgr,
  3. Marque la configuración del DH grupo en los perfiles crypto y IKE crypto del IPSec navegando a través de
  •     GUI: > de red Perfiles de red > perfil criptográfico Ipsec
  •     GUI: > de red Perfiles de red > IKE perfil criptográfico
  1. Ambos deben tener el mismo DH grupo y también el otro par final debe también tener configurado el mismo DH grupo.
  2. El problema se resuelve una vez que las configuraciones locales y del par se corrigen para hacer juego.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCrICAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language