IPsec VPN トンネル フェーズ 1 ネゴシエーションは、ピア ID の不一致が原因で失敗します。

• IKEv2 の場合: IPsec トンネル IKE レスポンダ* のシステム ログには、次のメッセージが表示されます。

2023/02/13 10:10:46 info     vpn            ike-gen 0  received ID_I (type ipaddr [172.16.1.1]) does not match peers id

• IKEv1 の場合:ピアの 1 つの IPsec トンネルのシステム ログに次のメッセージが表示されます。

2023/11/03 09:24:03 critical vpn     Gatewa ike-neg 0  IKE phase-1 negotiation is failed. Peer's ID payload 172.16.36.240 (type ipaddr) does not match a configured IKE gateway.

*IKE レスポンダ: IKE イニシエータは IKE VPN トンネル ネゴシエーション要求を開始するデバイスであり、IKE レスポンダは IKE VPN トンネルを確立する要求を受信するデバイスです。

• IPsec トンネル

1. IKE ゲートウェイ ピア ID が IPsec トンネルの両側で正しく設定されていることを確認します。
   1. UI の下を見てください。
      1. スタンドアロン ファイアウォールの場合: [ネットワーク] > [ネットワーク プロファイル] > [IKE ゲートウェイ] に移動します。
      2. Panorama マネージド ファイアウォールの場合: [テンプレート] > [ネットワーク] に移動し、適切なテンプレートを選択して、[ネットワーク プロファイル] > [IKE ゲートウェイ] を確認します。
      3. Strata Cloud Manager マネージド ファイアウォールの場合: [NGFW と Prisma Access > >構成の管理] に移動し、適切な [設定範囲] を選択して、[デバイス設定] > IPsec トンネルを確認します。
   2. IKEゲートウェイピアIDの不一致が原因でダウンしているトンネルのIKEゲートウェイ設定を確認します。

3. 一方のピアの ローカルID のタイプと値が、もう一方のピア のピアID タイプと値と一致することを確認します。

NAT がピアの 1 つの IP アドレス (トンネルのエンドポイント) に適用されている場合にピア ID を適切に構成する方法を確認するには、「Azure の VM ファイアウォールを使用した IPSec IKE サイト間 VPN のピア アドレスとピア ID」を参照してください。

ピア IP アドレスがダイナミックな場合のピア ID を適切に設定する方法を確認するには、『ダイナミック IP アドレスを持つピアを持つ IPSec VPN トンネル』を参照してください。

どの IKE ゲートウェイ設定を確認する必要があるかわからない場合は、まず、UI で見つかったトンネルの IPsec 設定に基づいて、影響を受けるトンネル(IKE ゲートウェイ ピア ID の不一致が原因でダウンしていることが検出されたトンネル)に設定されている IKE ゲートウェイを確認します。

1. スタンドアロン ファイアウォールの場合: [ネットワーク] > [IPsec トンネル] に移動し、適切なトンネルを検索し、トンネルの名前をクリックして設定を表示するか、IKE 情報ハイパーリンクをクリックして、使用されている IKE ゲートウェイを確認します。
2. Panorama マネージド ファイアウォールの場合: [テンプレート] > [ネットワーク] に移動し、適切なテンプレートを選択し、IPsec トンネルの下を見て、適切なトンネルを検索し、トンネルの名前をクリックしてその構成を表示して、使用されている IKE ゲートウェイを確認します。