El modo túnel IKEv2 y el modo transporte fallan con el motivo TS_UNACCETABLE en los registros del sistema

• Palo Alto Firewall está configurado como iniciador.
• La fase 1 de las negociaciones IKEv2 falla.
• El mensaje TS_UNACCEPTABLE se registra en el registro del sistema ( show log system ).
• ikemgr.log ( less mp-log ikemgr.log ) en modo de volcado muestra la construcción TS TS 0.0.0.0 -> 255.255.255.255 seguida de TS_UNACCEPTABLE.

-0200  [PNTF]: {    5:     }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway .........
-0200  [DEBG]: {    5:    5}: construct TS_r 0.0.0.0 -> 255.255.255.255 ======> check
....(Output Omitted)............
-0200  [PWRN]: {    5:     }: XX.XX.XX.XX[500] - YY.YY.YY.YY[500]:0x564eaf366fd0 received notify type TS_UNACCEPTABLE 

• Cortafuegos de Palo Alto (incluido Prisma Access)
• Sistema operativo PAN compatible
• túnel IPSec con un dispositivo de terceros

• PAN FW envía "0.0.0.0 - 255.255.255.255" tanto para "Selector de tráfico - Iniciador" como para "Selector de tráfico - Respondedor", que puede ser rechazado por el otro dispositivo final.
• Debido a esto, el SA secundario IKEv2 puede fallar entre un PA-Firewalls como iniciador y el dispositivo de otro proveedor como respondedor con un motivo TS_UNACCEPTABLE.
• Los selectores de tráfico NO SE PUEDEN cambiar porque en el modo de transporte IPsec, no se pueden configurar los ID de proxy.

1. Marque la casilla " Habilitar modo pasivo " en las Opciones avanzadas de la puerta de enlace IKE correspondiente.
2. Esto evitará el problema haciendo que el FW PAN siempre responda.