IPSEC Échec de la négociation sur la phase 2 avec le code d’erreur 19

IPSEC Échec de la négociation sur la phase 2 avec le code d’erreur 19

65933
Created On 02/11/21 18:06 PM - Last Modified 08/04/22 22:52 PM


Symptom


IPSEC La négociation de phase 2 du tunnel a échoué en tant qu’initiateur avec le message d’erreur vu ci-dessous,
IKEv2 child SA negotiation is failed as initiator, non-rekey. 
Failed SA: x.y.z.q[500]-m.n.p.r[500] message id:0x0000070E. Error code 19

Environment


  • Palo Alto Firewall .
  • PAN-OS 8,1 et plus.
  • IPSEC VPN tunnel entre homologues.

Cause


L’incompatibilité des clés Diffie-Hellman ( DH ) provoque ce problème.

Resolution


  1. IPSEC les paquets de phase 2 sont chiffrés. Les captures de paquet ne peuvent pas être passées en revue en raison de ceci pour identifier la cause
  2. Ainsi, le code d’erreur 19 s’affiche sur les journaux système et les journaux ikemgr,
  3. Vérifiez la configuration de DH groupe sur les profils crypto et crypto IKE d’Ipsec en naviguant à travers
  •     GUI: Profils réseau > réseau > profil de chiffrement Ipsec
  •     GUI: Réseau > Profils réseau > IKE Crypto Profile
  1. Les deux devraient avoir le même DH groupe et également l’autre homologue d’extrémité devrait également avoir le même DH groupe configuré.
  2. Le problème est résolu une fois que les configurations locales et homologues sont corrigées pour correspondre.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCrICAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language