IPSec: Phase 2-Aushandlung schlägt mit dem Fehler „[ERR ]: { 6: }: rcf_get_selectorlist() fehlgeschlagen“ fehl

• Firewall als „Responder“ konfiguriert.
• IPSec Phase 2 kann nicht gestartet werden.
• Das Ikemgr-Debugprotokoll (ohne MP-Log ikemgr.log) zeigt die Meldung „ rcf_get_selectorlist() fehlgeschlagen “ an.

-0600 [DEBG]: { 6: }: HASH computed:
-0600 [ERR ]: { 6: }: rcf_get_selectorlist() failed 
-0600 [ERR ]: { 6: }: can't find matching selector
-0600 [PERR]: { 6: }: failed to get sainfo.

• Palo Alto-Firewalls
• Unterstützte PANOS-Versionen
• IPSec -VPNs
• Als Responder konfigurierte Firewall

1. Unvollständige Konfiguration: Hier zeigt der Befehl „ Show VPN Flow “ die Tunnel -ID nicht an.

palo> show vpn flow 
id    name       state   monitor   local-ip     peer-ip      tunnel-i/f  
--      ----     -----   -------   --------     -------      ----------  
n     test1      init      off     x.x.3.4      x.x.3.6     (missing info) >>>> Missing tunnel info. Normally displayed as tunnel.x 

2. Falsche Proxy-ID konfiguriert: Die Fehlermeldung wird auch angezeigt, wenn die Proxy-ID zwischen dem lokalen VPN Gerät und dem Peer- VPN Gerät nicht richtig konfiguriert ist.

1. Überprüfen Sie mit dem Befehl „s how vpn flow“ , Schnittstelle Tunnel angezeigt wird/fehlt.
2. Löschen Sie nach der Überprüfung die Phase-2 Konfiguration einschließlich der Tunnel , und führen Sie anschließend den ausführen -Befehl aus.
3. Konfigurieren Sie sie alle wieder neu und führen Sie anschließend den ausführen -Befehl aus.
4. Hilfe hierzu erhalten Sie unter „IPSEC-Kryptoprofile definieren“ .

1. Korrigieren Sie die Proxy-ID-Konfiguration auf beiden Seiten
2. Übernehmen der Konfiguration
3. Hilfe zur Proxy-ID finden Sie unter: Warum eine VPN Proxy-ID verwenden ?