La négociation IKE phase 2 a échoué lors du traitement de l'ID proxy avec le pare-feu Cisco ASA

La négociation IKE phase 2 a échoué lors du traitement de l'ID proxy avec le pare-feu Cisco ASA

4449
Created On 11/17/23 18:41 PM - Last Modified 01/07/25 05:27 AM


Symptom


  • tunnel IPSEC configuré entre NGFW et Cisco ASA
  • Les phases 1 et 2 du tunnel IPSEC sont en service
  • La machine locale derrière PA FW ne parvient pas à atteindre le serveur sur le réseau distant derrière le tunnel Cisco ASA
  • System logs shows phase-2 negotiation failing due to mismatch in proxy id. Following logs are seen in system logs: 
    2023/11/01 17:07:22 info vpn Foresi ike-neg 0 IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: x.y.z.146/32 type IPv4_address protocol 0 port 0, received remote id: m.n.a.16/28 type IPv4_subnet protocol 0 port 0.


Environment


  • NGFW
  • PAN-OS 9.1
  • tunnel IPSEC entre NGFW et Cisco ASA

Cause


  • L'adresse IP locale et l'adresse IP distante dans les ID proxy ne correspondent pas exactement.
  • Sur PaloAlto, l'ID proxy a été configuré comme IP uniquement, distant,
  • Sur Cisco ASA FW, les ID proxy étaient configurés comme IP/ masque réseau.
  • Dans ce cas, sur Palo Alto Firewall, l'ID proxy a été configuré avec xyz146 et mna16, tandis que dans Cisco ASA, l'ID proxy a été configuré avec xyz146 /32 et mna16 /28.
  • Référez-vous à : ID proxy pour VPN IPSec .

Resolution


  1. Configurez l'ID proxy correspondance sur PA FW et Cisco ASA.
  2. Sur PA FW, configurer l'ID proxy correspondance exactement sous l'interface graphique : Réseau > tunnel IPSEC > Sélectionnez le tunnel > ID proxy.
  3. Commettre.
  4. Configurez la même chose sur Cisco ASA.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCOCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language