Der IKEv2 (IKE-Version 2) Tunnelmodus und der Transportmodus schlagen mit der Begründung TS_UNACCETABLE in den Systemprotokollen fehl

• Die Palo Alto Firewall ist als Initiator konfiguriert.
• Phase 1 der IKEv2 (IKE-Version 2) Verhandlungen schlägt fehl.
• Die Meldung TS_UNACCEPTABLE wird im Systemprotokoll aufgezeichnet ( Systemprotokoll anzeigen ).
• ikemgr.log ( weniger mp-log ikemgr.log ) zeigt im Dump-Modus die TS Konstruktion TS 0.0.0.0 -> 255.255.255.255, gefolgt von TS_UNACCEPTABLE an.

-0200  [PNTF]: {    5:     }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway .........
-0200  [DEBG]: {    5:    5}: construct TS_r 0.0.0.0 -> 255.255.255.255 ======> check
....(Output Omitted)............
-0200  [PWRN]: {    5:     }: XX.XX.XX.XX[500] - YY.YY.YY.YY[500]:0x564eaf366fd0 received notify type TS_UNACCEPTABLE 

• Palo Alto-Firewalls (einschließlich Prisma Access)
• Unterstützte PAN-OS
• IPSec Tunnel mit einem Gerät

• PAN FW sendet „0.0.0.0 – 255.255.255.255“ sowohl für „Traffic Selector – Initiator“ als auch für „Traffic Selector – Responder“, was vom anderen Gerät abgelehnt werden kann.
• Aus diesem Grund kann die IKEv2 (IKE-Version 2) Child SA zwischen einer PA-Firewall als Initiator und dem Gerät eines anderen Anbieters als Responder mit der Begründung TS_UNACCEPTABLE fehlschlagen.
• Verkehrsselektoren können NICHT geändert werden, da im IPsec-Transportmodus keine Proxy-IDs konfiguriert werden können.

1. Aktivieren Sie in den erweiterten Optionen des entsprechenden IKE Gateways das Kontrollkästchen „ Passiven Modus aktivieren “.
2. Dadurch wird das Problem vermieden, indem die PAN-FW immer als Responder aktiviert wird.