IKEv2トンネル モードとトランスポート モードがシステム ログに TS_UNACCETABLE の理由で失敗する

• Palo Alto ファイアウォールはイニシエーターとして構成されています。
• フェーズ 1 IKEv2ネゴシエーションが失敗します。
• TS_UNACCEPTABLE メッセージがシステム ログ ( show log system ) に記録されます。
• ikemgr.log ( less mp-log ikemgr.log ) はダンプ モードでTS構造TS 0.0.0.0 -> 255.255.255.255とそれに続くTS_UNACCEPTABLE を表示します。

-0200  [PNTF]: {    5:     }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway .........
-0200  [DEBG]: {    5:    5}: construct TS_r 0.0.0.0 -> 255.255.255.255 ======> check
....(Output Omitted)............
-0200  [PWRN]: {    5:     }: XX.XX.XX.XX[500] - YY.YY.YY.YY[500]:0x564eaf366fd0 received notify type TS_UNACCEPTABLE 

• Palo Alto ファイアウォール (Prisma Access を含む)
• サポートされているPAN-OS
• サードパーティデバイスとのIPSecトンネル

• PAN FW は、「トラフィック セレクタ - イニシエーター」と「トラフィック セレクタ - レスポンダー」の両方に「0.0.0.0 - 255.255.255.255」を送信しますが、これはもう一方のエンドデバイスによって拒否される可能性があります。
• このため、イニシエーターとしての PA ファイアウォールとレスポンダーとしての別のデバイスのデバイス間のIKEv2子SAは、TS_UNACCEPTABLE の理由で失敗する可能性があります。
• IPsec トランスポート モードではプロキシ ID を構成できないため、トラフィック セレクターを変更することはできません。

1. 対応するIKEゲートウェイの詳細オプションで、「パッシブ モードを有効にする」ボックスをオンにします。
2. これにより、PAN FW が常にレスポンダーになるため、問題を回避できます。