La négociation de la phase 1 du tunnel VPN IPsec échoue en raison d’une incompatibilité dans l’identification des homologues.

• Pour IKEv2 : le journal système du répondeur IKE* du tunnel IPsec affiche le message suivant :

2023/02/13 10:10:46 info     vpn            ike-gen 0  received ID_I (type ipaddr [172.16.1.1]) does not match peers id

• Pour IKEv1 : le journal système du tunnel IPsec de l’un des homologues affichera le message suivant :

2023/11/03 09:24:03 critical vpn     Gatewa ike-neg 0  IKE phase-1 negotiation is failed. Peer's ID payload 172.16.36.240 (type ipaddr) does not match a configured IKE gateway.

*Répondeur IKE : L’initiateur IKE est l’appareil qui initie la demande de négociation de tunnel VPN IKE et le répondeur IKE est l’appareil qui reçoit la demande d’établissement d’un tunnel VPN IKE.

• Tunnel IPsec

1. Assurez-vous que l’identification de l’homologue de la passerelle IKE est correctement configurée des deux côtés du tunnel IPsec.
   1. Regardez sous l’interface utilisateur :
      1. Pour un pare-feu autonome : accédez à NETWORK > Network Profiles > IKE Gateways.
      2. Pour le pare-feu géré Panorama : Accédez à Modèles > RÉSEAU, sélectionnez le bon modèle, puis regardez sous Profils réseau > Passerelles IKE.
      3. Pour les pare-feu gérés par Strata Cloud Manager : Accédez à Gérer la configuration > > NGFW et Prisma Access, sélectionnez l’étendue de configuration appropriée, puis recherchez sous Paramètres de l’appareil > tunnel IPsec.
   2. Vérifiez la configuration de la passerelle IKE du tunnel qui est en panne en raison d’une incompatibilité de l’identification de l’homologue de la passerelle IKE :

3. Assurez-vous que le type et la valeur de l’identification locale d’un homologue correspondent au type et à la valeur d’identification de l’homologue de l’autre homologue.

Reportez-vous à Adresse d’homologue et identification d’homologue dans IPSec IKE VPN de site à site avec pare-feu de machine virtuelle dans Azure pour vérifier comment configurer correctement l’identification d’homologue lorsqu’un NAT est appliqué à l’adresse IP de l’un des homologues, point de terminaison du tunnel.

Reportez-vous à la section Tunnel VPN IPSec avec homologue ayant une adresse IP dynamique pour vérifier comment configurer correctement l’identification de l’homologue lorsque l’adresse IP de l’homologue est dynamique.

Si vous n’êtes pas sûr de la configuration de la passerelle IKE à vérifier en premier, vérifiez quelle passerelle IKE est configurée pour le tunnel concerné (le tunnel qui est détecté comme étant inactif en raison d’une incompatibilité d’identification de l’homologue de la passerelle IKE) en accédant à la configuration IPsec du tunnel qui se trouve sous l’interface utilisateur :.

1. Pour un pare-feu autonome : Accédez à NETWORK > IPsec Tunnel recherchez le bon tunnel et vérifiez quelle passerelle IKE est utilisée en cliquant sur le nom du tunnel pour afficher sa configuration ou en cliquant sur le lien hypertexte IKE info.
2. Pour le pare-feu géré Panorama : Accédez à Modèles > RÉSEAU, sélectionnez le bon modèle, puis regardez sous le tunnel IPsec, recherchez le bon tunnel et vérifiez quelle passerelle IKE est utilisée en cliquant sur le nom du tunnel pour afficher sa configuration.