시스템 로그에 TS_UNACCETABLE이라는 이유로 IKEv2 터널 모드 및 전송 모드가 실패합니다.

• Palo Alto 방화벽은 개시자로 구성됩니다.
• 1단계 IKEv2 협상이 실패했습니다.
• TS_UNACCEPTABLE 메시지가 시스템 로그( show log system )에 기록됩니다.
• 덤프 모드에서 ikemgr.log( less mp-log ikemgr.log )는 TS 구성 TS 0.0.0.0 -> 255.255.255.255를 표시한 다음 TS_UNACCEPTABLE을 표시합니다.

-0200  [PNTF]: {    5:     }: ====> IKEv2 CHILD SA NEGOTIATION STARTED AS INITIATOR, non-rekey; gateway .........
-0200  [DEBG]: {    5:    5}: construct TS_r 0.0.0.0 -> 255.255.255.255 ======> check
....(Output Omitted)............
-0200  [PWRN]: {    5:     }: XX.XX.XX.XX[500] - YY.YY.YY.YY[500]:0x564eaf366fd0 received notify type TS_UNACCEPTABLE 

• Palo Alto 방화벽(Prisma Access 포함)
• 지원되는 PAN-OS
• 타사 디바이스 사용한 IPSec 터널

• PAN FW는 "트래픽 선택기 - 개시자" 및 "트래픽 선택기 - 응답자" 모두에 대해 "0.0.0.0 - 255.255.255.255"를 전송하는데, 이는 다른 최종 디바이스 에서 거부될 수 있습니다.
• 이로 인해 IKEv2 자식 SA 가 PA-Firewall을 개시자로, 다른 공급업체의 디바이스 응답자로 하는 사이에서 TS_UNACCEPTABLE 이유로 실패할 수 있습니다.
• IPsec 전송 모드에서는 프록시 ID를 구성할 수 없으므로 트래픽 선택기를 변경할 수 없습니다.

1. 해당 IKE 게이트웨이의 고급 옵션에서 " 수동 모드 사용 " 상자를 체크합니다.
2. 이렇게 하면 PAN FW가 항상 응답자가 되어 문제가 방지됩니다.