Le mode tunnel IKEv2 et le mode transport échouent pour la raison TS_UNACCETABLE dans les journaux système

• Palo Alto Firewall est configuré comme initiateur.
• Les négociations de la phase 1 IKEv2 échouent.
• Le message TS_UNACCEPTABLE est enregistré dans le journal système ( show log system ).
• ikemgr.log ( moins mp-log ikemgr.log ) en mode vidage affiche la construction TS TS 0.0.0.0 -> 255.255.255.255 suivi de TS_UNACCEPTABLE.

-0200  [PNTF]: {    5:     }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway .........
-0200  [DEBG]: {    5:    5}: construct TS_r 0.0.0.0 -> 255.255.255.255 ======> check
....(Output Omitted)............
-0200  [PWRN]: {    5:     }: XX.XX.XX.XX[500] - YY.YY.YY.YY[500]:0x564eaf366fd0 received notify type TS_UNACCEPTABLE 

• Pare-feu Palo Alto (y compris Prisma Access)
• Système d'exploitation PAN pris en charge
• tunnel IPSec avec un appareil tiers

• PAN FW envoie « 0.0.0.0 - 255.255.255.255 » pour « Traffic Selector - Initiator » et « Traffic Selector - Responder » qui peuvent être rejetés par l'autre appareil final.
• De ce fait, l'enfant SA IKEv2 peut échouer entre un pare-feu PA en tant qu'initiateur et le appareil d'un autre fournisseur en tant que répondeur avec une raison TS_UNACCEPTABLE.
• Les sélecteurs de trafic NE PEUVENT PAS être modifiés car en mode de transport IPsec, les ID proxy ne peuvent pas être configurés.

1. Cochez la case « Activer le mode passif » dans les Options avancées de la passerelle IKE correspondante.
2. Cela évitera le problème en faisant du PAN FW un répondeur permanent.