La negociación de la fase 2 de IKE falló al procesar la identificación del proxy con el firewall Cisco ASA

La negociación de la fase 2 de IKE falló al procesar la identificación del proxy con el firewall Cisco ASA

4449
Created On 11/17/23 18:41 PM - Last Modified 01/07/25 05:30 AM


Symptom


  • túnel IPSEC configurado entre NGFW y Cisco ASA
  • La fase 1 y la fase 2 del túnel IPSEC están en marcha
  • La máquina local detrás del FW PA no puede comunicarse con el servidor en la red remota detrás del túnel Cisco ASA
  • System logs shows phase-2 negotiation failing due to mismatch in proxy id. Following logs are seen in system logs: 
    2023/11/01 17:07:22 info vpn Foresi ike-neg 0 IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: x.y.z.146/32 type IPv4_address protocol 0 port 0, received remote id: m.n.a.16/28 type IPv4_subnet protocol 0 port 0.


Environment


  • Gigante nuclear
  • PAN-OS 9.1
  • túnel IPSEC entre NGFW y Cisco ASA

Cause


  • La IP local y la IP remota en los ID de proxy no coinciden exactamente.
  • En PaloAlto, el ID del proxy se configuró como solo IP, remoto.
  • En Cisco ASA FW, las ID de proxy se configuraron como IP/ máscara de red.
  • En este caso, en Palo Alto Firewall, el ID de proxy se configuró con xyz146 y mna16, mientras que en Cisco ASA, el ID de proxy se configuró con xyz146 /32 y mna16 /28.
  • Consulte: ID de proxy para IPSec VPN .

Resolution


  1. Configure la ID de proxy coincidente tanto en PA FW como en Cisco ASA.
  2. En PA FW, configurar la ID de proxy coincidente exacta en la GUI: Red > túnel IPSEC > seleccionar túnel > ID de proxy.
  3. Comprometerse.
  4. Configure lo mismo en Cisco ASA.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCOCA0&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language