Se produce un error en la negociación de la fase 1 del túnel VPN IPsec debido a una falta de coincidencia en la identificación del mismo nivel.

• Para IKEv2: el registro del sistema del respondedor IKE del túnel IPsec* mostrará el siguiente mensaje:

2023/02/13 10:10:46 info     vpn            ike-gen 0  received ID_I (type ipaddr [172.16.1.1]) does not match peers id

• Para IKEv1: el registro del sistema del túnel IPsec de uno de los pares mostrará el siguiente mensaje:

2023/11/03 09:24:03 critical vpn     Gatewa ike-neg 0  IKE phase-1 negotiation is failed. Peer's ID payload 172.16.36.240 (type ipaddr) does not match a configured IKE gateway.

*Respondedor IKE: El iniciador de IKE es el dispositivo que inicia la solicitud de negociación del túnel VPN de IKE y el respondedor de IKE es el dispositivo que recibe la solicitud para establecer un túnel VPN de IKE.

• Túnel IPsec

1. Asegúrese de que la identificación del par de la puerta de enlace IKE esté configurada correctamente en ambos lados del túnel IPsec.
   1. Busque en la interfaz de usuario:
      1. Para firewall independiente: Navegue hasta RED > Perfiles de red > Puertas de enlace IKE.
      2. Para el firewall administrado Panorama:  Vaya a Plantillas > RED, seleccione la plantilla correcta y luego busque en Perfiles de red > puertas de enlace IKE.
      3. Para firewalls administrados de Strata Cloud Manager:  Navegue hasta Administrar > configuración > NGFW y Prisma Access, seleccione el alcance de configuración correcto y luego busque en Configuración del dispositivo > túnel IPsec.
   2. Verifique la configuración de la puerta de enlace IKE del túnel que está inactiva debido a la falta de coincidencia de identificación de pares de la puerta de enlace IKE:

3. Asegúrese de que el tipo y el valor de la identificación local de un par coincida con el tipo y el valor de la identificación del mismo nivel del otro par.

Consulte Dirección del mismo nivel frente a identificación del mismo nivel en IPSec IKE de sitio a sitio VPN con firewall de máquina virtual en Azure para comprobar cómo configurar correctamente la identificación del mismo nivel cuando se aplica una NAT a la dirección IP de uno de los puntos de conexión del mismo nivel del túnel.

Refiérase a Túnel VPN IPSec con Peer Having Dynamic IP Address para comprobar cómo configurar correctamente la identificación del par cuando la dirección IP del Peer es dinámica.

Si no está seguro de qué configuración de puerta de enlace IKE debe verificar, primero verifique qué puerta de enlace IKE está configurada para el túnel afectado (el túnel que se detecta que está inactivo debido a la falta de coincidencia de identificación de pares de la puerta de enlace IKE) yendo a la configuración IPsec del túnel que se encuentra en la interfaz de usuario:.

1. Para firewall independiente: Navegue hasta RED > Túnel IPsec busque el túnel correcto y verifique qué puerta de enlace IKE se utiliza haciendo clic en el nombre del túnel para ver su configuración o haciendo clic en el hipervínculo de información IKE.
2. Para el firewall administrado de Panorama:  Vaya a Plantillas > RED, seleccione la plantilla correcta y luego busque en el túnel IPsec, busque el túnel correcto y verifique qué puerta de enlace IKE se utiliza haciendo clic en el nombre del túnel para ver su configuración.