Cisco ASA 방화벽으로 프록시 ID를 처리하는 동안 IKE 2단계 협상이 실패했습니다.

Cisco ASA 방화벽으로 프록시 ID를 처리하는 동안 IKE 2단계 협상이 실패했습니다.

4457
Created On 11/17/23 18:41 PM - Last Modified 01/07/25 05:34 AM


Symptom


  • NGFW와 Cisco ASA 사이에 IPSEC 터널 구성됨
  • IPSEC 터널 의 1단계와 2단계가 시작되었습니다.
  • PA FW 뒤의 로컬 머신이 Cisco ASA 터널 뒤의 원격 네트워크 서버에 접속할 수 없습니다.
  • System logs shows phase-2 negotiation failing due to mismatch in proxy id. Following logs are seen in system logs: 
    2023/11/01 17:07:22 info vpn Foresi ike-neg 0 IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: x.y.z.146/32 type IPv4_address protocol 0 port 0, received remote id: m.n.a.16/28 type IPv4_subnet protocol 0 port 0.


Environment


  • 다음세대
  • PANOS 9.1(팬OS 9.1)
  • NGFW와 Cisco ASA 사이의 IPSEC 터널

Cause


  • 프록시 ID의 로컬 IP와 원격 IP는 정확하게 일치하지 않습니다.
  • PaloAlto에서는 프록시 ID가 IP 전용, 원격으로 구성되었습니다.
  • Cisco ASA FW에서는 프록시 ID가 IP/ 넷마스크(netmask) 로 구성되었습니다.
  • 이 경우 Palo Alto 방화벽에서는 프록시 ID가 xyz146 및 mna16으로 구성되었지만, Cisco ASA에서는 프록시 ID가 xyz146 /32 및 mna16 /28로 구성되었습니다.
  • 참조: IPSec VPN 의 프록시 ID .

Resolution


  1. PA FW와 Cisco ASA 모두에서 매칭 프록시 ID를 구성합니다.
  2. PA FW에서 GUI에서 정확히 매칭 프록시 ID를 구성 : 네트워크 > IPSEC 터널 > 터널 선택 > 프록시 ID.
  3. 저지르다.
  4. Cisco ASA에서도 동일하게 구성합니다.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCOCA0&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language