使用 Cisco ASA 防火墙处理代理 ID 时IKE第 2 阶段协商失败

使用 Cisco ASA 防火墙处理代理 ID 时IKE第 2 阶段协商失败

4465
Created On 11/17/23 18:41 PM - Last Modified 01/07/25 05:32 AM


Symptom


  • NGFW 和 Cisco ASA 之间配置的 IPSEC隧道
  • IPSEC隧道第一阶段和第二阶段已启动
  • PA FW 后面的本地计算机无法访问 Cisco ASA隧道后面的远程网络上的服务器
  • System logs shows phase-2 negotiation failing due to mismatch in proxy id. Following logs are seen in system logs: 
    2023/11/01 17:07:22 info vpn Foresi ike-neg 0 IKE phase-2 negotiation failed when processing proxy ID. cannot find matching phase-2 tunnel for received proxy ID. received local id: x.y.z.146/32 type IPv4_address protocol 0 port 0, received remote id: m.n.a.16/28 type IPv4_subnet protocol 0 port 0.


Environment


  • 下一代防火墙
  • PAN OS 9.1
  • NGFW 和 Cisco ASA 之间的 IPSEC隧道

Cause


  • 代理 ID 中的本地 IP 和远程 IP 不完全匹配。
  • 在 PaloAlto 上,代理 ID 配置为仅 IP、远程,
  • 在 Cisco ASA FW 上,代理 ID 配置为 IP/网络掩码。
  • 在这种情况下,在 Palo Alto 防火墙上,代理 ID 配置为 xyz146 和 mna16,而在 Cisco ASA 中,代理 ID 配置为 xyz146 /32和 mna16 /28。
  • 参考: IPSec VPN的代理 ID

Resolution


  1. 在 PA FW 和 Cisco ASA 上配置匹配的代理 ID。
  2. 在 PA FW 上,在 GUI 下配置精确匹配的代理 ID:网络 >IPSEC隧道> 选择隧道> 代理 ID。
  3. 犯罪.
  4. 在 Cisco ASA 上进行相同的配置。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XhCOCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language