Cisco ASA ファイアウォールでプロキシ ID を処理するときにIKEフェーズ 2 ネゴシエーションが失敗しました

Cisco ASA ファイアウォールでプロキシ ID を処理するときにIKEフェーズ 2 ネゴシエーションが失敗しました

4449
Created On 11/17/23 18:41 PM - Last Modified 01/07/25 05:31 AM


Symptom


  • NGFWとCisco ASAの間に設定されたIPSECトンネル
  • IPSECトンネルのフェーズ1とフェーズ2が稼働中
  • PA FW の背後にあるローカル マシンは、Cisco ASAトンネルの背後にあるリモート ネットワークのサーバーにアクセスできません。
  • System logs shows phase-2 negotiation failing due to mismatch in proxy id. Following logs are seen in system logs: 
    2023/11/01 17:07:22 info vpn Foresi ike-neg 0 IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: x.y.z.146/32 type IPv4_address protocol 0 port 0, received remote id: m.n.a.16/28 type IPv4_subnet protocol 0 port 0.


Environment


  • NGFW
  • PAN-OS 9.1
  • NGFW と Cisco ASA 間の IPSECトンネル

Cause


  • プロキシ ID のローカル IP とリモート IP は完全に一致しません。
  • PaloAltoではプロキシIDはIPのみ、リモート、
  • Cisco ASA FW では、プロキシ ID は IP/ネットマスクとして設定されていました。
  • この場合、Palo Alto ファイアウォールではプロキシ ID は xyz146 と mna16 に設定されていましたが、Cisco ASA ではプロキシ ID は xyz146 /32と mna16 /28 に設定されていました。
  • 参照: IPsec VPNのプロキシ ID

Resolution


  1. PA FW と Cisco ASA の両方で一致プロキシ ID を設定します。
  2. PA FW では、GUI で正確に一致プロキシ IDをコンフィグ:ネットワーク > IPSECトンネル>トンネルの選択 > プロキシ ID。
  3. 専念.
  4. Cisco ASA でも同様に設定してください。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCOCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language