Die IKE Phase-2-Aushandlung ist bei der Verarbeitung der Proxy-ID mit der Cisco ASA-Firewall fehlgeschlagen

Die IKE Phase-2-Aushandlung ist bei der Verarbeitung der Proxy-ID mit der Cisco ASA-Firewall fehlgeschlagen

4449
Created On 11/17/23 18:41 PM - Last Modified 01/07/25 05:29 AM


Symptom


  • IPSEC- Tunnel zwischen NGFW und Cisco ASA konfiguriert
  • Phase 1 und Phase 2 des IPSEC- Tunnel sind aktiv
  • Der lokale Computer hinter PA FW kann den Server im Remote-Netzwerk hinter dem Cisco ASA Tunnel nicht erreichen
  • System logs shows phase-2 negotiation failing due to mismatch in proxy id. Following logs are seen in system logs: 
    2023/11/01 17:07:22 info vpn Foresi ike-neg 0 IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: x.y.z.146/32 type IPv4_address protocol 0 port 0, received remote id: m.n.a.16/28 type IPv4_subnet protocol 0 port 0.


Environment


  • NGFW
  • PAN-OS 9.1
  • IPSEC- Tunnel zwischen NGFW und Cisco ASA

Cause


  • Lokale IP und Remote-IP in Proxy-IDs stimmen nicht exakt überein.
  • Auf PaloAlto wurde die Proxy-ID als „Nur IP, Remote“ konfiguriert.
  • Auf Cisco ASA FW wurden Proxy-IDs als IP/ Netzmaske konfiguriert.
  • In diesem Fall wurde die Proxy-ID auf der Palo Alto Firewall mit xyz146 und mna16 konfiguriert, während in der Cisco ASA die Proxy-ID mit xyz146 /32 und mna16 /28 konfiguriert wurde.
  • Siehe: Proxy-ID für IPSec VPN .

Resolution


  1. Konfigurieren Sie die Übereinstimmung Proxy-ID sowohl auf PA FW als auch auf Cisco ASA.
  2. konfigurieren auf PA FW die exakt Übereinstimmung Proxy-ID unter der GUI: Netzwerk > IPSEC- Tunnel > Tunnel auswählen > Proxy-IDs.
  3. Begehen.
  4. Konfigurieren Sie dasselbe auf Cisco ASA.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCOCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language