Die Aushandlung des IPsec-VPN-Tunnels Phase 1 schlägt aufgrund einer Nichtübereinstimmung bei der Peeridentifikation fehl.

• Für IKEv2: Im Systemprotokoll des IPsec-Tunnel-IKE-Responders* wird die folgende Meldung angezeigt:

2023/02/13 10:10:46 info     vpn            ike-gen 0  received ID_I (type ipaddr [172.16.1.1]) does not match peers id

• Für IKEv1: Im Systemprotokoll des IPsec-Tunnels eines der Peers wird die folgende Meldung angezeigt:

2023/11/03 09:24:03 critical vpn     Gatewa ike-neg 0  IKE phase-1 negotiation is failed. Peer's ID payload 172.16.36.240 (type ipaddr) does not match a configured IKE gateway.

*IKE-Responder: Der IKE-Initiator ist das Gerät, das die IKE-VPN-Tunnelaushandlungsanforderung initiiert, und der IKE-Responder ist das Gerät, das die Anforderung zum Einrichten eines IKE-VPN-Tunnels empfängt.

• IPsec-Tunnel

1. Stellen Sie sicher, dass die Peer-Identifizierung des IKE-Gateways auf beiden Seiten des IPsec-Tunnels ordnungsgemäß konfiguriert ist.
   1. Schauen Sie unter die Benutzeroberfläche:
      1. Für eigenständige Firewall: Navigieren Sie zu NETZWERK > Netzwerkprofile > IKE-Gateways.
      2. Für die verwaltete Panorama-Firewall:  Navigieren Sie zu Vorlagen > NETZWERK, wählen Sie die richtige Vorlage aus, und suchen Sie dann unter Netzwerkprofile > IKE-Gateways.
      3. Für von Strata Cloud Manager verwaltete Firewalls:  Navigieren Sie zu > Konfiguration verwalten > NGFW und Prisma Access, wählen Sie den richtigen Konfigurationsbereich aus und suchen Sie dann unter Geräteeinstellungen > IPsec-Tunnel.
   2. Überprüfen Sie die IKE-Gateway-Konfiguration des Tunnels, die aufgrund einer Nichtübereinstimmung der Peer-Identifizierung des IKE-Gateways nicht verfügbar ist:

3. Stellen Sie sicher, dass der Typ und der Wert der lokalen Identifizierung eines Peers mit dem Peeridentifikationstyp und -wert des anderen Peers übereinstimmen.

Unter Peeradresse im Vergleich zur Peeridentifikation in IPSec IKE Site-to-Site-VPN mit VM-Firewall in Azure erfahren Sie, wie Sie die Peeridentifikation ordnungsgemäß konfigurieren, wenn eine NAT auf die IP-Adresse eines der Peers, Endpunkt des Tunnels, angewendet wird.

Unter IPSec-VPN-Tunnel mit Peer mit dynamischer IP-Adresse erfahren Sie, wie die Peer-Identifizierung ordnungsgemäß konfiguriert wird, wenn die Peer-IP-Adresse dynamisch ist.

Wenn Sie sich nicht sicher sind, welche IKE-Gateway-Konfiguration Sie zuerst überprüfen sollen, überprüfen Sie, welches IKE-Gateway für den betroffenen Tunnel konfiguriert ist (der Tunnel, der aufgrund einer Nichtübereinstimmung der Peer-Identifizierung des IKE-Gateways als ausgefallen erkannt wird), indem Sie die IPsec-Konfiguration des Tunnels unter der Benutzeroberfläche aufrufen:.

1. Für eigenständige Firewall: Navigieren Sie zu NETZWERK > IPsec-Tunnel , suchen Sie nach dem richtigen Tunnel und überprüfen Sie, welches IKE-Gateway verwendet wird, indem Sie auf den Namen des Tunnels klicken, um seine Konfiguration anzuzeigen, oder indem Sie auf den IKE-Info-Hyperlink klicken.
2. Für die verwaltete Panorama-Firewall:  Navigieren Sie zu Vorlagen > NETZWERK, wählen Sie die richtige Vorlage aus, suchen Sie dann unter dem IPsec-Tunnel nach dem richtigen Tunnel und überprüfen Sie, welches IKE-Gateway verwendet wird, indem Sie auf den Namen des Tunnels klicken, um seine Konfiguration anzuzeigen.